Podatność w platformie OneUptime umożliwia nieuwierzytelnionemu atakującemu dostęp do endpointów testowania powiadomień oraz zarządzania numerami telefonów. Może to prowadzić do nadużycia kanałów komunikacyjnych (SMS, połączenia głosowe, e-mail, WhatsApp) oraz nieautoryzowanego zakupu numerów telefonów.
▸ Pokaż oryginał (EN)
OneUptime is an open-source monitoring and observability platform. Prior to version 10.0.42, unauthenticated access to Notification test and Phone Number management endpoints allows SMS/Call/Email/WhatsApp abuse and phone number purchase. This issue has been patched in version 10.0.42.
Podatność sklasyfikowana jako CWE-306 (brak uwierzytelnienia dla funkcji krytycznych) polega na tym, że endpointy odpowiedzialne za testowanie powiadomień oraz zarządzanie numerami telefonów nie wymagają żadnego uwierzytelnienia. Atakujący z dostępem do sieci może bezpośrednio wysyłać żądania do tych endpointów, inicjując wysyłkę wiadomości SMS, połączeń głosowych, e-maili lub wiadomości WhatsApp, a także dokonując zakupu numerów telefonów na koszt operatora platformy.
Atakujący może nadużywać platformy do masowego rozsyłania wiadomości przez różne kanały komunikacyjne (SMS, połączenia, e-mail, WhatsApp) oraz generować koszty poprzez nieautoryzowany zakup numerów telefonów, a także naruszać poufność i integralność konfiguracji powiadomień.
Należy zaktualizować OneUptime do wersji 10.0.42 lub nowszej, w której podatność została załatana. Patch dostępny jest w repozytorium projektu na GitHub (commit 9adbd04538714740506708d6fa610e433be4d2a4) oraz jako oficjalne wydanie 10.0.42.
Hackerbay OneUptime w wersjach wcześniejszych niż 10.0.42
Podatność została zgłoszona i naprawiona w ramach programu security advisories projektu OneUptime (GHSA-q253-6wcm-h8hp). Pomimo braku wymogu interakcji użytkownika i braku konieczności uwierzytelnienia (wektor sieciowy, złożoność niska), wskaźnik wpływu na dostępność wynosi zero, co sugeruje brak możliwości bezpośredniego uszkodzenia systemu – główne ryzyko to nadużycie zasobów i koszty finansowe.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NHackerbay Oneuptime
APPHackerbay< 10.0.40
Powiązane podatności
Brak uwierzytelnienia w API powiadomień OneUptime — obejście autoryzacji
Brak uwierzytelnienia w endpointach workflow w OneUptime (RCE)
RCE w OneUptime — command injection przez Playwright w Synthetic Monitor
SQL Injection w OneUptime — nieautoryzowany dostęp do bazy i potencjalny RCE
OneUptime: RCE przez niebezpieczny Playwright sandbox w Synthetic Monitors