CRITICAL🇬🇧 English

CVE-2026-34758

OneUptime: nieautoryzowany dostęp do endpointów powiadomień i zarządzania numerami

CVSS 9.1v3.1pub. 2026-04-02upd. 2026-04-03

Podatność w platformie OneUptime umożliwia nieuwierzytelnionemu atakującemu dostęp do endpointów testowania powiadomień oraz zarządzania numerami telefonów. Może to prowadzić do nadużycia kanałów komunikacyjnych (SMS, połączenia głosowe, e-mail, WhatsApp) oraz nieautoryzowanego zakupu numerów telefonów.

Pokaż oryginał (EN)

OneUptime is an open-source monitoring and observability platform. Prior to version 10.0.42, unauthenticated access to Notification test and Phone Number management endpoints allows SMS/Call/Email/WhatsApp abuse and phone number purchase. This issue has been patched in version 10.0.42.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-306 (brak uwierzytelnienia dla funkcji krytycznych) polega na tym, że endpointy odpowiedzialne za testowanie powiadomień oraz zarządzanie numerami telefonów nie wymagają żadnego uwierzytelnienia. Atakujący z dostępem do sieci może bezpośrednio wysyłać żądania do tych endpointów, inicjując wysyłkę wiadomości SMS, połączeń głosowych, e-maili lub wiadomości WhatsApp, a także dokonując zakupu numerów telefonów na koszt operatora platformy.

Skutki

Atakujący może nadużywać platformy do masowego rozsyłania wiadomości przez różne kanały komunikacyjne (SMS, połączenia, e-mail, WhatsApp) oraz generować koszty poprzez nieautoryzowany zakup numerów telefonów, a także naruszać poufność i integralność konfiguracji powiadomień.

Mitygacja

Należy zaktualizować OneUptime do wersji 10.0.42 lub nowszej, w której podatność została załatana. Patch dostępny jest w repozytorium projektu na GitHub (commit 9adbd04538714740506708d6fa610e433be4d2a4) oraz jako oficjalne wydanie 10.0.42.

Kogo dotyczy

Hackerbay OneUptime w wersjach wcześniejszych niż 10.0.42

Uwagi

Podatność została zgłoszona i naprawiona w ramach programu security advisories projektu OneUptime (GHSA-q253-6wcm-h8hp). Pomimo braku wymogu interakcji użytkownika i braku konieczności uwierzytelnienia (wektor sieciowy, złożoność niska), wskaźnik wpływu na dostępność wynosi zero, co sugeruje brak możliwości bezpośredniego uszkodzenia systemu – główne ryzyko to nadużycie zasobów i koszty finansowe.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Hackerbay Oneuptime

    APP
    Hackerbay
    < 10.0.40
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-34759CRITICAL9.2PL ✓ten sam produkt

Brak uwierzytelnienia w API powiadomień OneUptime — obejście autoryzacji

CVE-2026-35053CRITICAL9.2PL ✓ten sam produkt

Brak uwierzytelnienia w endpointach workflow w OneUptime (RCE)

CVE-2026-33396CRITICAL9.9PL ✓ten sam produkt

RCE w OneUptime — command injection przez Playwright w Synthetic Monitor

CVE-2026-32306CRITICAL9.9PL ✓ten sam produkt

SQL Injection w OneUptime — nieautoryzowany dostęp do bazy i potencjalny RCE

CVE-2026-30921CRITICAL9.9PL ✓ten sam produkt

OneUptime: RCE przez niebezpieczny Playwright sandbox w Synthetic Monitors

CVE-2026-34758 — OneUptime: nieautoryzowany dostęp do endpointów powiadomień i zarządzania numerami — CRITICAL 9.1 | CVEbaza.pl