OneUptime tem escape de sandbox no tempo de execução do Synthetic Monitor Playwright que permite que membros do projeto executem comandos arbitrários na Probe
Plataforma
nodejs
Componente
oneuptime
Corrigido em
10.0.36
CVE-2026-33396 é uma vulnerabilidade de execução remota de código (RCE) no OneUptime. Um usuário autenticado com baixos privilégios pode executar comandos no container/host Probe, explorando a execução de scripts Playwright do Synthetic Monitor. A falha reside na lista de bloqueio incompleta, permitindo o uso de _browserType e launchServer. Afeta versões anteriores à 10.0.35. A versão 10.0.35 corrige esta vulnerabilidade.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-33396 no OneUptime permite que um usuário autenticado de baixo privilégio (ProjectMember) execute comandos remotamente no contêiner/host Probe, explorando a execução de scripts Playwright em Monitores Sintéticos. O código do monitor sintético é executado dentro de VMRunner.runCodeInNodeVM com um objeto de página Playwright ativo no contexto. O sandbox se baseia em uma lista de negação de propriedades/métodos bloqueados, mas esta lista é incompleta. Especificamente, _browserType e launch podem ser explorados para alcançar a execução de código arbitrário.
Contexto de Exploração
Um atacante com acesso autenticado como ProjectMember pode criar um monitor sintético com um script Playwright malicioso. Este script, ao ser executado dentro do ambiente VMRunner.runCodeInNodeVM, pode aproveitar a falta de restrições em _browserType e launch para executar comandos arbitrários no contêiner Probe ou até mesmo no host subjacente. A facilidade de autenticação como ProjectMember torna esta vulnerabilidade particularmente preocupante.
Quem Está em Riscotraduzindo…
Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.
Passos de Detecçãotraduzindo…
• nodejs / server:
ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright• nodejs / server:
journalctl -u oneuptime -g 'Playwright script execution'• generic web:
Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.
Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.84% (percentil 75%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para esta vulnerabilidade é atualizar o OneUptime para a versão 10.0.35 ou superior. Esta versão inclui correções que fortalecem o ambiente de execução do Playwright, bloqueando de forma mais eficaz as propriedades e métodos que podem ser usados para execução de comandos remotos. Recomenda-se fortemente atualizar o mais rápido possível para mitigar o risco de exploração. Além disso, revise as configurações de permissão do usuário para garantir que apenas os usuários necessários tenham acesso às funcionalidades de monitoramento sintético.
Como corrigirtraduzindo…
Actualice OneUptime a la versión 10.0.35 o superior. Esta versión contiene una corrección para la vulnerabilidad de ejecución remota de comandos. La actualización evitará que usuarios no autorizados ejecuten comandos arbitrarios en el contenedor/host Probe.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-33396 em OneUptime?
Um ProjectMember é um papel de usuário no OneUptime com permissões limitadas dentro de um projeto específico. Embora não tenham privilégios administrativos, podem ser suficientes para explorar esta vulnerabilidade.
Estou afetado pelo CVE-2026-33396 no OneUptime?
Você pode verificar sua versão do OneUptime executando o comando oneuptime version na linha de comando ou revisando as informações de versão na interface do usuário.
Como corrijo o CVE-2026-33396 no OneUptime?
Se não puder atualizar imediatamente, considere limitar o acesso às funcionalidades de monitoramento sintético a usuários confiáveis e monitorar de perto os registros do sistema em busca de atividades suspeitas.
O CVE-2026-33396 está sendo explorado ativamente?
Atualmente, não existem ferramentas específicas para detectar a exploração desta vulnerabilidade. No entanto, o monitoramento dos registros do sistema e a busca por padrões incomuns de execução de comandos podem ajudar a identificar possíveis ataques.
Onde encontro o aviso oficial do OneUptime para o CVE-2026-33396?
Significa que um atacante pode executar comandos em um sistema remotamente, sem a necessidade de estar fisicamente presente nele.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.