Plataforma
nodejs
Componente
oneuptime
Corrigido em
10.0.36
CVE-2026-33396 é uma vulnerabilidade de execução remota de código (RCE) no OneUptime. Um usuário autenticado com baixos privilégios pode executar comandos no container/host Probe, explorando a execução de scripts Playwright do Synthetic Monitor. A falha reside na lista de bloqueio incompleta, permitindo o uso de _browserType e launchServer. Afeta versões anteriores à 10.0.35. A versão 10.0.35 corrige esta vulnerabilidade.
A vulnerabilidade CVE-2026-33396 no OneUptime permite que um usuário autenticado de baixo privilégio (ProjectMember) execute comandos remotamente no contêiner/host Probe, explorando a execução de scripts Playwright em Monitores Sintéticos. O código do monitor sintético é executado dentro de VMRunner.runCodeInNodeVM com um objeto de página Playwright ativo no contexto. O sandbox se baseia em uma lista de negação de propriedades/métodos bloqueados, mas esta lista é incompleta. Especificamente, _browserType e launch podem ser explorados para alcançar a execução de código arbitrário.
Um atacante com acesso autenticado como ProjectMember pode criar um monitor sintético com um script Playwright malicioso. Este script, ao ser executado dentro do ambiente VMRunner.runCodeInNodeVM, pode aproveitar a falta de restrições em _browserType e launch para executar comandos arbitrários no contêiner Probe ou até mesmo no host subjacente. A facilidade de autenticação como ProjectMember torna esta vulnerabilidade particularmente preocupante.
Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.
• nodejs / server:
ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright• nodejs / server:
journalctl -u oneuptime -g 'Playwright script execution'• generic web:
Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.
disclosure
Status do Exploit
EPSS
0.84% (percentil 75%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o OneUptime para a versão 10.0.35 ou superior. Esta versão inclui correções que fortalecem o ambiente de execução do Playwright, bloqueando de forma mais eficaz as propriedades e métodos que podem ser usados para execução de comandos remotos. Recomenda-se fortemente atualizar o mais rápido possível para mitigar o risco de exploração. Além disso, revise as configurações de permissão do usuário para garantir que apenas os usuários necessários tenham acesso às funcionalidades de monitoramento sintético.
Actualice OneUptime a la versión 10.0.35 o superior. Esta versión contiene una corrección para la vulnerabilidad de ejecución remota de comandos. La actualización evitará que usuarios no autorizados ejecuten comandos arbitrarios en el contenedor/host Probe.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um ProjectMember é um papel de usuário no OneUptime com permissões limitadas dentro de um projeto específico. Embora não tenham privilégios administrativos, podem ser suficientes para explorar esta vulnerabilidade.
Você pode verificar sua versão do OneUptime executando o comando oneuptime version na linha de comando ou revisando as informações de versão na interface do usuário.
Se não puder atualizar imediatamente, considere limitar o acesso às funcionalidades de monitoramento sintético a usuários confiáveis e monitorar de perto os registros do sistema em busca de atividades suspeitas.
Atualmente, não existem ferramentas específicas para detectar a exploração desta vulnerabilidade. No entanto, o monitoramento dos registros do sistema e a busca por padrões incomuns de execução de comandos podem ajudar a identificar possíveis ataques.
Significa que um atacante pode executar comandos em um sistema remotamente, sem a necessidade de estar fisicamente presente nele.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.