Plataforma
nodejs
Componente
oneuptime
Corrigido em
10.0.43
OneUptime is an open-source monitoring and observability platform. A critical vulnerability exists in versions prior to 10.0.42 where unauthenticated access to notification API endpoints is possible, potentially leading to unauthorized actions like purchasing phone numbers and deleting existing alerting numbers on a victim's Twilio account. This issue affects OneUptime versions less than or equal to 10.0.42. A patch has been released in version 10.0.42.
A vulnerabilidade CVE-2026-34759 no OneUptime permite que um atacante não autenticado envie notificações através da API, comprometendo potencialmente a confidencialidade e a disponibilidade do sistema. A falta de autenticação em determinados endpoints de notificação, combinada com o vazamento de informações do projectId através da página pública de status, permite que um atacante adquira números de telefone e abuse do sistema de notificações. O score CVSS para esta vulnerabilidade é alto, indicando um risco significativo. Esta vulnerabilidade afeta versões do OneUptime anteriores à 10.0.42.
Um atacante pode explorar esta vulnerabilidade obtendo um projectId através da página pública de status do OneUptime. Com este projectId, o atacante pode comprar números de telefone e enviar notificações não autorizadas através da API de notificação sem a necessidade de autenticação. Isso pode resultar no envio em massa de mensagens, no esgotamento de recursos do sistema ou até mesmo na manipulação de alertas críticos. A facilidade de exploração, combinada com o impacto potencial, torna esta vulnerabilidade uma preocupação importante.
Status do Exploit
EPSS
0.11% (percentil 29%)
CISA SSVC
A principal mitigação para CVE-2026-34759 é atualizar o OneUptime para a versão 10.0.42 ou posterior. Esta versão inclui a implementação correta do middleware de autorização ClusterKeyAuthorization em todos os endpoints de notificação, prevenindo o acesso não autorizado. Além disso, recomenda-se revisar a configuração da página de status pública para evitar a divulgação de informações sensíveis, como o projectId. Monitorar ativamente os logs do sistema em busca de atividades suspeitas relacionadas às APIs de notificação também é uma prática recomendada. Se não for possível atualizar imediatamente, pode-se considerar a implementação de regras de firewall para restringir o acesso aos endpoints de notificação.
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige las vulnerabilidades de autenticación en los endpoints de la API de notificaciones, evitando el abuso financiero, la interrupción del servicio y la exposición de credenciales SMTP.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OneUptime é uma plataforma de monitoramento e observabilidade de código aberto.
Se você estiver usando uma versão anterior à 10.0.42, seus usuários podem receber notificações indesejadas ou até mesmo ser alvo de ataques.
Implementar regras de firewall para restringir o acesso aos endpoints de notificação pode ser uma solução temporária.
Consulte a documentação oficial do OneUptime para obter instruções detalhadas sobre como atualizar para a versão 10.0.42.
É um middleware de autorização que verifica se um serviço está autorizado a acessar um recurso.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.