Platform
other
Component
oneuptime
Opgelost in
10.0.43
OneUptime is een open-source platform voor monitoring en observability. Een kwetsbaarheid in versies vóór 10.0.42 stelt ongeauthenticeerde gebruikers in staat om notificatie- en telefoonnummerbeheer endpoints te misbruiken, wat kan leiden tot SMS/Call/Email/WhatsApp spam en het ongeautoriseerd kopen van telefoonnummers. Deze kwetsbaarheid treft versies van OneUptime tot en met 10.0.42. Een patch is beschikbaar in versie 10.0.42.
CVE-2026-34758 in OneUptime maakt ongeautoriseerde toegang tot de notificatietest- en telefoonnummerbeheer-endpoints mogelijk. Dit maakt misbruik van SMS, oproepen, e-mails en WhatsApp mogelijk, evenals de aankoop van telefoonnummers. Het ontbreken van authenticatie stelt het systeem bloot aan potentieel misbruik, waaronder spamcampagnes, frauduleuze activiteiten en denial-of-service (DoS)-aanvallen door het systeem te overspoelen met ongewenste notificaties. De mogelijkheid om telefoonnummers via het systeem te verwerven, vergroot het risico verder, waardoor kwaadwillende actoren valse accounts kunnen aanmaken of gerichte phishing-aanvallen kunnen lanceren.
Een aanvaller kan deze kwetsbaarheid uitbuiten zonder inloggegevens te vereisen. Door eenvoudige HTTP-verzoeken naar de notificatietest- en telefoonnummerbeheer-endpoints te sturen, kan hij het verzenden van SMS, oproepen, e-mails of WhatsApp-berichten triggeren. De eenvoudige toegankelijkheid maakt deze kwetsbaarheid bijzonder zorgwekkend, omdat het zelfs aanvallers met beperkte technische expertise in staat stelt aanvallen te lanceren. Geautomatiseerde exploitatie is ook mogelijk, wat kan leiden tot een hoog volume aan kwaadaardig verkeer en aanzienlijke verstoringen.
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those that have not implemented robust access controls for their notification and phone number management systems, are at significant risk. Shared hosting environments using OneUptime are also particularly vulnerable.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor CVE-2026-34758 is om OneUptime onmiddellijk te updaten naar versie 10.0.42 of hoger. Deze versie integreert authenticatie-eisen voor de getroffen endpoints, waardoor ongeautoriseerde toegang effectief wordt voorkomen. Controleer bovendien de beveiligingsconfiguratie van OneUptime, inclusief firewall-regels en intrusion-detection-systemen, om verdachte activiteiten te monitoren en te blokkeren. Onderzoek de systeemlogboeken op ongeautoriseerde toegangspogingen voorafgaand aan de update om mogelijke compromissen te identificeren. Regelmatige beveiligingsaudits en kwetsbaarheidsanalyses worden ook aanbevolen om een veilige omgeving te behouden.
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige la falta de autenticación en los endpoints de notificación, previniendo el abuso de SMS/Llamadas/Email/WhatsApp y la compra no autorizada de números de teléfono.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Als tijdelijke maatregel, implementeer firewall-regels om de openbare toegang tot de getroffen endpoints te blokkeren. Bewaak de systeemlogboeken op verdachte activiteiten.
Ja, alle OneUptime-installaties die versies vóór 10.0.42 gebruiken, zijn kwetsbaar.
U kunt de versie van OneUptime controleren door toegang te krijgen tot de beheerinterface of de systeemlogboeken te raadplegen.
Controleer de algemene beveiligingsconfiguratie van OneUptime, inclusief gebruikersbeheer en machtigingsinstellingen.
U kunt meer informatie vinden op de CVE-2026-34758-pagina in kwetsbaarheidsdatabases zoals NIST NVD.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.