平台
nodejs
组件
@oneuptime/common
修复版本
10.0.19
10.0.19
10.0.18
CVE-2026-30887 是一个远程代码执行 (RCE) 漏洞,影响 @oneuptime/common 库。该漏洞源于 Synthetic Monitor 功能中对用户提供的 Playwright/JavaScript 代码的信任执行,缺乏足够的安全沙箱保护。攻击者可以通过原型链逃逸绕过沙箱,进而执行任意系统命令,对系统造成严重威胁。受影响的版本包括 10.0.0 至 10.0.17。建议立即升级至 10.0.18 版本以修复此漏洞。
该漏洞的潜在影响极其严重。攻击者可以利用此漏洞在 oneuptime-probe 容器中执行任意代码,从而完全控制受影响的系统。由于 oneuptime-probe 通常包含数据库和集群的凭据,攻击者可以利用此漏洞访问敏感数据,进行横向移动,甚至控制整个基础设施。攻击者可以窃取数据库凭据,修改配置,安装恶意软件,或利用系统资源进行非法活动。这种漏洞的爆发可能导致数据泄露、服务中断、声誉受损以及严重的经济损失。由于该漏洞允许执行任意代码,其影响范围非常广泛,类似于某些高危的 RCE 漏洞。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性和易利用性,预计未来可能会出现。该漏洞已在 2026-03-07 公开披露。根据漏洞描述,攻击者可以通过原型链逃逸绕过沙箱,这表明该漏洞的利用难度相对较低。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations utilizing OneUptime for website monitoring, particularly those with project members who have permissions to create and modify Synthetic Monitors, are at significant risk. Shared hosting environments where multiple users share the same OneUptime instance are especially vulnerable, as a compromised monitor could impact all users on the shared system.
• linux / server:
journalctl -u oneuptime-probe | grep -i "prototype chain"• nodejs:
ps aux | grep -i "oneuptime-probe" | grep -i "vm.Module"• generic web:
curl -I http://<oneuptime_url>/synthetic/monitors/ | grep -i "Content-Security-Policy"disclosure
patch
漏洞利用状态
EPSS
0.06% (17% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 @oneuptime/common 10.0.18 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,禁用 Synthetic Monitor 功能,以消除漏洞的直接攻击面。其次,如果可能,限制 oneuptime-probe 容器的权限,使其只能访问必要的资源。第三,实施严格的网络隔离,限制对 oneuptime-probe 容器的访问。第四,使用 Web 应用防火墙 (WAF) 或反向代理来检测和阻止恶意请求。升级后,请验证修复是否成功,例如通过运行 Synthetic Monitor 并检查其执行环境是否受到限制。
升级 OneUptime 到 10.0.18 或更高版本。此版本修复了在 Node.js vm 模块中执行不安全代码的任意代码执行漏洞。升级将防止项目成员在 oneuptime-probe 容器上执行任意系统命令。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-30887 是一个远程代码执行漏洞,影响 @oneuptime/common 库的 Synthetic Monitor 功能。攻击者可以利用原型链逃逸执行任意系统命令。
如果您正在使用 @oneuptime/common 10.0.0 至 10.0.17 版本,则可能受到此漏洞的影响。
升级到 @oneuptime/common 10.0.18 或更高版本以修复此漏洞。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性和易利用性,预计未来可能会出现。
请访问 @oneuptime 的官方网站或 GitHub 仓库,查找关于 CVE-2026-30887 的安全公告。
CVSS 向量