Platform
nodejs
Component
oneuptime
Opgelost in
10.0.43
OneUptime is an open-source monitoring and observability platform. A critical vulnerability exists in versions prior to 10.0.42 where unauthenticated access to notification API endpoints is possible, potentially leading to unauthorized actions like purchasing phone numbers and deleting existing alerting numbers on a victim's Twilio account. This issue affects OneUptime versions less than or equal to 10.0.42. A patch has been released in version 10.0.42.
CVE-2026-34759 in OneUptime stelt een niet-geauthenticeerde aanvaller in staat om notificaties via de API te verzenden, wat mogelijk de vertrouwelijkheid en beschikbaarheid van het systeem in gevaar brengt. Het ontbreken van authenticatie op bepaalde notificatie-endpoints, gecombineerd met de lek van de projectId via de publieke statuspagina, stelt een aanvaller in staat om telefoonnummers te kopen en het notificatiesysteem te misbruiken. De CVSS-score voor deze kwetsbaarheid is hoog, wat een aanzienlijk risico aangeeft. Deze kwetsbaarheid treft OneUptime-versies vóór 10.0.42.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een projectId te verkrijgen via de publieke statuspagina van OneUptime. Met deze projectId kan de aanvaller telefoonnummers kopen en ongeautoriseerde notificaties via de notificatie-API verzenden zonder authenticatie. Dit kan leiden tot massaboodschappen, uitputting van systeemresources of zelfs manipulatie van kritieke waarschuwingen. De eenvoud van exploitatie, gecombineerd met de potentiële impact, maakt deze kwetsbaarheid een belangrijk probleem.
Exploit Status
EPSS
0.11% (29% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-34759 is het upgraden van OneUptime naar versie 10.0.42 of hoger. Deze versie bevat de correcte implementatie van de ClusterKeyAuthorization-middleware op alle notificatie-endpoints, waardoor ongeautoriseerde toegang wordt voorkomen. Controleer bovendien de configuratie van de publieke statuspagina om te voorkomen dat gevoelige informatie zoals de projectId wordt vrijgegeven. Het is ook aan te raden om de systeemlogboeken actief te monitoren op verdachte activiteiten met betrekking tot notificatie-API's. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan om firewall-regels te implementeren om de toegang tot notificatie-endpoints te beperken.
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige las vulnerabilidades de autenticación en los endpoints de la API de notificaciones, evitando el abuso financiero, la interrupción del servicio y la exposición de credenciales SMTP.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OneUptime is een open-source platform voor monitoring en observability.
Als u een versie vóór 10.0.42 gebruikt, kunnen uw gebruikers ongewenste notificaties ontvangen of zelfs doelwit worden van aanvallen.
Het implementeren van firewall-regels om de toegang tot notificatie-endpoints te beperken, kan een tijdelijke oplossing zijn.
Raadpleeg de officiële OneUptime-documentatie voor gedetailleerde instructies over hoe u kunt upgraden naar versie 10.0.42.
Het is een autorisatie-middleware die verifieert of een service geautoriseerd is om toegang te krijgen tot een resource.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.