平台
other
组件
oneuptime
修复版本
10.0.43
CVE-2026-34758是OneUptime中的一个漏洞,允许未经身份验证的访问通知测试和电话号码管理端点,从而导致SMS/Call/Email/WhatsApp滥用和电话号码购买。该漏洞影响版本低于10.0.42的OneUptime。此问题已在版本10.0.42中得到修复。
OneUptime 中的 CVE-2026-34758 允许未经身份验证的访问通知测试和电话号码管理端点。这使得 SMS、电话、电子邮件和 WhatsApp 的滥用以及电话号码的购买成为可能。缺乏身份验证控制使系统面临潜在的滥用,包括垃圾邮件活动、欺诈活动和服务拒绝 (DoS) 攻击,通过用不需要的通知淹没系统。通过系统购买电话号码的能力进一步加剧了风险,可能使恶意行为者创建虚假帐户或发起有针对性的网络钓鱼攻击。
攻击者无需任何凭据即可利用此漏洞。通过向通知测试和电话号码管理端点发送简单的 HTTP 请求,他们可以触发发送 SMS、电话、电子邮件或 WhatsApp 消息。访问的便利性使此漏洞特别令人担忧,因为它允许即使是技术专长有限的攻击者也能发起攻击。自动化利用也是可能的,这可能导致大量恶意流量和重大中断。
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those that have not implemented robust access controls for their notification and phone number management systems, are at significant risk. Shared hosting environments using OneUptime are also particularly vulnerable.
disclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVE-2026-34758 的建议缓解措施是立即将 OneUptime 更新到 10.0.42 或更高版本。此版本为受影响的端点引入了身份验证要求,从而有效地防止未经授权的访问。此外,请查看 OneUptime 的安全配置,包括防火墙规则和入侵检测系统,以监控和阻止可疑活动。在更新之前检查系统日志,查找任何未经授权的访问尝试,以识别潜在的漏洞。
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige la falta de autenticación en los endpoints de notificación, previniendo el abuso de SMS/Llamadas/Email/WhatsApp y la compra no autorizada de números de teléfono.
漏洞分析和关键警报直接发送到您的邮箱。
作为临时措施,实施防火墙规则以阻止对受影响端点的公共访问。监控系统日志以查找可疑活动。
是的,运行 10.0.42 之前的版本的 所有 OneUptime 安装都容易受到攻击。
您可以访问管理界面或查看系统日志来检查 OneUptime 的版本。
查看 OneUptime 的整体安全配置,包括用户管理和权限设置。
您可以在 NIST NVD 等漏洞数据库中找到有关 CVE-2026-34758 页面的更多信息。
CVSS 向量