Plataforma
other
Componente
oneuptime
Corrigido em
10.0.43
CVE-2026-34758 é uma vulnerabilidade no OneUptime, uma plataforma de monitoramento e observabilidade open-source, que permite acesso não autenticado a endpoints de teste de notificação e gerenciamento de números de telefone. Isso possibilita o abuso de SMS, chamadas, e-mail e WhatsApp, além da compra de números de telefone. Afeta versões anteriores à 10.0.42. A vulnerabilidade foi corrigida na versão 10.0.42.
A vulnerabilidade CVE-2026-34758 no OneUptime permite acesso não autenticado aos endpoints de teste de notificação e gerenciamento de números de telefone. Isso possibilita o abuso de SMS, chamadas, e-mails e WhatsApp, além da compra de números de telefone. A ausência de autenticação expõe o sistema a potenciais abusos, incluindo campanhas de spam, atividades fraudulentas e ataques de negação de serviço (DoS) ao inundar o sistema com notificações indesejadas. A capacidade de adquirir números de telefone através do sistema agrava ainda mais o risco, permitindo que agentes maliciosos criem contas falsas ou lancem ataques de phishing direcionados.
Um atacante pode explorar esta vulnerabilidade sem a necessidade de credenciais. Ao enviar solicitações HTTP simples para os endpoints de teste de notificação e gerenciamento de números de telefone, eles podem acionar o envio de SMS, chamadas, e-mails ou mensagens do WhatsApp. A facilidade de acesso torna esta vulnerabilidade particularmente preocupante, pois permite que até mesmo atacantes com pouca experiência técnica lancem ataques. A exploração automatizada também é possível, levando potencialmente a um alto volume de tráfego malicioso e interrupções significativas.
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those that have not implemented robust access controls for their notification and phone number management systems, are at significant risk. Shared hosting environments using OneUptime are also particularly vulnerable.
disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação recomendada para CVE-2026-34758 é atualizar o OneUptime para a versão 10.0.42 ou superior o mais rápido possível. Esta versão incorpora requisitos de autenticação para os endpoints afetados, impedindo efetivamente o acesso não autorizado. Além disso, revise a configuração de segurança do OneUptime, incluindo regras de firewall e sistemas de detecção de intrusão, para monitorar e bloquear atividades suspeitas. Examine os logs do sistema em busca de tentativas de acesso não autorizado antes da atualização para identificar possíveis comprometimentos. Auditorias de segurança regulares e varreduras de vulnerabilidades também são recomendadas para manter um ambiente seguro.
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige la falta de autenticación en los endpoints de notificación, previniendo el abuso de SMS/Llamadas/Email/WhatsApp y la compra no autorizada de números de teléfono.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Como medida temporária, implemente regras de firewall para bloquear o acesso público aos endpoints afetados. Monitore os logs do sistema em busca de atividades suspeitas.
Sim, todas as instalações do OneUptime que executam versões anteriores à 10.0.42 são vulneráveis.
Você pode verificar a versão do OneUptime acessando a interface de administração ou consultando os logs do sistema.
Revise sua configuração geral de segurança do OneUptime, incluindo o gerenciamento de usuários e as configurações de permissão.
Você pode encontrar mais informações na página do CVE-2026-34758 em bancos de dados de vulnerabilidades como o NIST NVD.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.