Mehrere Schwachstellen (CVE-2026-30862, CVE-2026-30887, CVE-2026-30921, CVE-2026-30957) in Oneuptime
Zusammenfassung
Eine kritische Sicherheitslücke in der Monitoring-Software Oneuptime ermöglicht es Angreifern mit geringen Berechtigungen, beliebigen Code auf dem Oneuptime-Probe-Server auszuführen. Dies resultiert aus der unsicheren Ausführung von Untrusted-Code in der Node.js-Laufzeitumgebung, was den Zugriff auf Playwright-Browser- und Seitenobjekte erlaubt. Nutzer können die Schwachstelle ausnutzen, um eigene Schadsoftware auf dem System zu installieren. Das Problem betrifft Versionen vor 10.0.21 und wurde im neuesten Release behoben.
Oneuptime - Oneuptime - CRITICAL - CVE-2026-30957.
OneUptime, a monitoring solution, has a vulnerability that allows low-privileged authenticated project users to execute arbitrary commands on the oneuptime-probe server. This arises from the execution of untrusted code within Node's virtual machine, exposing live Playwright browser and page objects. A malicious user can exploit this by calling Playwright APIs on the compromised browser object, leading to the deployment of attacker-controlled executables. This issue affects versions prior to 10.0.21 and has been addressed in the latest release.
Quelle: securityvulnerability.io