Platform
nodejs
Component
oneuptime
Opgelost in
10.0.36
CVE-2026-33396 is een kritieke remote code execution (RCE) kwetsbaarheid in OneUptime. Met een CVSS score van 10, maakt deze kwetsbaarheid het mogelijk voor aanvallers om code uit te voeren op de host. Dit kan leiden tot volledig controleverlies. OneUptime versies kleiner dan 10.0.35 zijn kwetsbaar. De fix is beschikbaar in versie 10.0.35.
CVE-2026-33396 in OneUptime stelt een geauthenticeerde gebruiker met lage privileges (ProjectMember) in staat om op afstand commando's uit te voeren op de Probe-container/host door misbruik te maken van de uitvoering van Playwright-scripts in Synthetische Monitoren. De code van de synthetische monitor wordt uitgevoerd in VMRunner.runCodeInNodeVM met een actief Playwright-pagina-object in de context. De sandbox is gebaseerd op een denylist van geblokkeerde eigenschappen/methoden, maar deze is onvolledig. Specifiek kunnen _browserType en launch worden misbruikt om willekeurige code uit te voeren.
Een aanvaller met geauthenticeerde toegang als ProjectMember kan een synthetische monitor maken met een kwaadaardig Playwright-script. Dit script kan, wanneer het wordt uitgevoerd in de VMRunner.runCodeInNodeVM-omgeving, de ontbrekende beperkingen op _browserType en launch misbruiken om willekeurige commando's uit te voeren op de Probe-container of zelfs op de onderliggende host. De eenvoudige authenticatie als ProjectMember maakt deze kwetsbaarheid bijzonder zorgwekkend.
Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.
• nodejs / server:
ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright• nodejs / server:
journalctl -u oneuptime -g 'Playwright script execution'• generic web:
Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.
disclosure
Exploit Status
EPSS
0.84% (75% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om OneUptime te upgraden naar versie 10.0.35 of hoger. Deze versie bevat fixes die de Playwright-uitvoeringomgeving versterken, waardoor eigenschappen en methoden die gebruikt kunnen worden voor remote commando-uitvoering effectiever worden geblokkeerd. Het wordt ten zeerste aanbevolen om zo snel mogelijk te upgraden om het risico op uitbuiting te verminderen. Controleer bovendien de gebruikersrechtenconfiguraties om ervoor te zorgen dat alleen de noodzakelijke gebruikers toegang hebben tot de synthetische monitoringfuncties.
Update OneUptime naar versie 10.0.35 of hoger. Deze versie bevat een fix voor de remote command execution (RCE) kwetsbaarheid. De update voorkomt dat ongeautoriseerde gebruikers willekeurige commando's uitvoeren op de Probe container/host.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een ProjectMember is een gebruikersrol in OneUptime met beperkte rechten binnen een specifiek project. Hoewel ze geen beheerdersrechten hebben, kunnen ze voldoende zijn om deze kwetsbaarheid uit te buiten.
U kunt uw OneUptime-versie controleren door de opdracht oneuptime version in de opdrachtregel uit te voeren of de versie-informatie in de gebruikersinterface te bekijken.
Als u niet onmiddellijk kunt upgraden, overweeg dan om de toegang tot de synthetische monitoringfuncties te beperken tot vertrouwde gebruikers en de systeemlogboeken nauwlettend in de gaten te houden op verdachte activiteiten.
Momenteel zijn er geen specifieke tools om de uitbuiting van deze kwetsbaarheid te detecteren. Het monitoren van systeemlogboeken en het zoeken naar ongebruikelijke commando-uitvoeringpatronen kan echter helpen om potentiële aanvallen te identificeren.
Dat betekent dat een aanvaller commando's op een systeem op afstand kan uitvoeren, zonder fysiek aanwezig te hoeven zijn.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.