CVE-2026-33396 涉及 OneUptime 中的一个远程代码执行 (RCE) 漏洞,该漏洞允许低权限用户执行代码。攻击者可以通过滥用 Synthetic Monitor Playwright 脚本执行来实现此目的。受影响的版本为 10.0.35 之前,开发人员已在 10.0.35 版本中修复了此问题。
OneUptime 的 CVE-2026-33396 允许低权限的认证用户 (ProjectMember) 通过滥用合成监控 Playwright 脚本执行,在 Probe 容器/主机上实现远程命令执行。合成监控代码在 VMRunner.runCodeInNodeVM 中,上下文中使用实时 Playwright 页面对象执行。沙箱依赖于被阻止属性/方法的拒绝列表,但此列表不完整。具体来说,_browserType 和 launch 可以被利用来实现任意代码执行。
具有 ProjectMember 身份的认证访问权限的攻击者可以创建一个使用恶意 Playwright 脚本的合成监控器。当此脚本在 VMRunner.runCodeInNodeVM 环境中执行时,它可以利用 _browserType 和 launch 缺乏限制来在 Probe 容器或底层主机上执行任意命令。作为 ProjectMember 身份进行身份验证的便利性使此漏洞特别令人担忧。
Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.
• nodejs / server:
ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright• nodejs / server:
journalctl -u oneuptime -g 'Playwright script execution'• generic web:
Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.
disclosure
漏洞利用状态
EPSS
0.84% (75% 百分位)
CISA SSVC
此漏洞的解决方案是将 OneUptime 升级到 10.0.35 或更高版本。此版本包含增强 Playwright 执行环境的修复程序,从而更有效地阻止可用于远程命令执行的属性和方法。强烈建议尽快升级以降低被利用的风险。此外,请审查用户权限配置,以确保只有必要的用户才能访问合成监控功能。
升级 OneUptime 到 10.0.35 或更高版本。此版本包含针对远程命令执行漏洞的修复。升级将阻止未经授权的用户在 Probe 容器/主机上执行任意命令。
漏洞分析和关键警报直接发送到您的邮箱。
ProjectMember 是 OneUptime 中特定项目内的用户角色,具有有限的权限。虽然他们没有管理员权限,但可能足以利用此漏洞。
您可以通过在命令行中运行 oneuptime version 命令或在用户界面中查看版本信息来检查您的 OneUptime 版本。
如果无法立即升级,请考虑限制对合成监控功能的访问,仅限于受信任的用户,并密切监控系统日志以查找可疑活动。
目前没有专门用于检测此漏洞利用的工具。但是,监控系统日志并查找异常的命令执行模式可以帮助识别潜在的攻击。
这意味着攻击者无需实际在现场即可远程在系统上执行命令。
CVSS 向量