Plataforma
nodejs
Componente
oneuptime
Corrigido em
10.0.43
Uma vulnerabilidade de execução remota de código (RCE) foi descoberta no OneUptime, uma plataforma de monitoramento e observabilidade de código aberto. A falha reside na ausência de autenticação nos endpoints de execução de fluxo de trabalho (GET /workflow/manual/run/:workflowId e POST /workflow/manual/run/:workflowId) do serviço Worker, permitindo que atacantes executem fluxos de trabalho arbitrários com dados controlados pelo atacante. A vulnerabilidade afeta versões do OneUptime anteriores à 10.0.42 e foi corrigida nesta versão.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar código JavaScript arbitrário dentro do contexto do OneUptime. Isso pode levar à execução de comandos no servidor onde o OneUptime está instalado, permitindo o acesso não autorizado a dados confidenciais, a modificação de configurações do sistema e a instalação de malware. O atacante pode abusar das notificações configuradas no OneUptime para enviar spam ou realizar ataques de phishing. Além disso, a manipulação de dados dentro dos fluxos de trabalho pode comprometer a integridade dos dados monitorados e gerar relatórios falsos, dificultando a detecção de problemas reais. A falta de autenticação torna a exploração relativamente simples, especialmente se o atacante conseguir adivinhar ou obter um ID de fluxo de trabalho válido.
A vulnerabilidade foi divulgada em 2026-04-02. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da divulgação. A ausência de autenticação nos endpoints torna a exploração relativamente fácil, e a possibilidade de execução de código JavaScript aumenta o potencial de impacto. A falta de um PoC público não significa que a vulnerabilidade não possa ser explorada, especialmente por atores com conhecimento técnico.
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those who have not implemented robust network segmentation, are at significant risk. Shared hosting environments where OneUptime is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other tenants.
• nodejs: Monitor OneUptime logs for unusual workflow execution patterns or errors related to JavaScript execution. Use npm audit to check for dependencies with known vulnerabilities.
• generic web: Monitor access logs for requests to /workflow/manual/run/:workflowId originating from unexpected IP addresses. Check response headers for signs of unauthorized code execution.
• linux / server: Use lsof or ss to identify any unexpected processes accessing the OneUptime Worker service. Examine system files for modifications or suspicious scripts.
disclosure
Status do Exploit
EPSS
0.12% (percentil 31%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar o OneUptime para a versão 10.0.42 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere restringir o acesso aos endpoints /workflow/manual/run/:workflowId através de um firewall ou proxy reverso, permitindo apenas conexões de fontes confiáveis. Implementar regras de WAF (Web Application Firewall) para detectar e bloquear solicitações maliciosas direcionadas a esses endpoints também pode ajudar. Monitore os logs do OneUptime em busca de atividades suspeitas, como tentativas de execução de fluxos de trabalho desconhecidos ou modificações inesperadas nos dados. Após a atualização, confirme a correção verificando se os endpoints /workflow/manual/run/:workflowId exigem autenticação.
Atualize OneUptime para a versão 10.0.42 ou superior. Esta versão corrige a vulnerabilidade que permite a execução de fluxos de trabalho não autenticados. A atualização impedirá que atacantes executem código (JavaScript) arbitrário, abusem das notificações ou manipulem dados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35053 é uma vulnerabilidade de execução remota de código (RCE) no OneUptime, permitindo que atacantes executem código arbitrário devido à falta de autenticação em endpoints de fluxo de trabalho.
Sim, se você estiver utilizando uma versão do OneUptime anterior à 10.0.42, você está afetado por esta vulnerabilidade.
Atualize o OneUptime para a versão 10.0.42 ou superior. Se a atualização imediata não for possível, implemente medidas de mitigação como restrição de acesso e regras de WAF.
Não há informações disponíveis sobre exploração ativa no momento da divulgação, mas a facilidade de exploração aumenta o risco.
Consulte o site oficial do OneUptime ou o repositório GitHub do projeto para obter o advisory e informações adicionais sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.