CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-30957

Critical
Published: Translated: NVD NIST

Summary

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. Przed wersją 10.0.21, syntetyczne monitory OneUptime pozwalały użytkownikom projektu z niskimi uprawnieniami na wykonywanie dowolnych poleceń na serwerze/kontenerze oneuptime-probe.

Risk Assessment

Podatność ta umożliwia zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem przez złośliwego użytkownika. Jest to poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 10.0.21 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa, aby ocenić potencjalne skutki tej luki.

Original NVD description (English source)

OneUptime is a solution for monitoring and managing online services. Prior to 10.0.21, OneUptime Synthetic Monitors allow a low-privileged authenticated project user to execute arbitrary commands on the oneuptime-probe server/container. The root cause is that untrusted Synthetic Monitor code is executed inside Node's vm while live host-realm Playwright browser and page objects are exposed to it. A malicious user can call Playwright APIs on the injected browser object and cause the probe to spawn an attacker-controlled executable. This is a server-side remote code execution issue. It does not require a separate vm sandbox escape. This vulnerability is fixed in 10.0.21.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS