Kritische RCE-Lücke in OneUptime Synthetic Monitors - CVE-2026-30957
⚠️ CVE-Referenzen:
CVE-2026-30957
Zusammenfassung
Eine kritische Sicherheitslücke in OneUptime Synthetic Monitors ermöglicht es einem Angreifer mit niedrigen Berechtigungen, beliebigen Code auf dem Probe-Server auszuführen. Der Grund dafür ist, dass unsicherer Synthetic Monitor-Code innerhalb der Node.js-VM ausgeführt wird, während gleichzeitig Playwright-Objekte für den Browser und die Seite zugänglich sind. Dadurch kann der Angreifer die Playwright-API missbrauchen, um einen eigenen Prozess zu starten. Diese Server-seitige Schwachstelle wurde in Version 10.0.21 behoben.
OneUptime is a solution for monitoring and managing online services. Prior to 10.0.21, OneUptime Synthetic Monitors allow a low-privileged authenticated project user to execute arbitrary commands on the oneuptime-probe server/container. The root cause is that untrusted Synthetic Monitor code is executed inside Node's vm while live host-realm Playwright browser and page objects are exposed to it. A malicious user can call Playwright APIs on the injected browser object and cause the probe to spawn an attacker-controlled executable. This is a server-side remote code execution issue. It does not require a separate vm sandbox escape. This vulnerability is fixed in 10.0.21.
Quelle: app.opencve.io