CVE-2026-32306 in oneuptimeالمعلومات

الملخص

بحسب VulDB • 21/05/2026

OneUptime هو حل لمراقبة وإدارة الخدمات عبر الإنترنت. قبل الإصدار 10.0.23، تقبل واجهة برمجة التطبيقات (API) لتجميع بيانات التيليمتري معلمات يتحكم فيها المستخدم وهي `aggregationType` و `aggregateColumnName` و `aggregationTimestampColumnName`، وتقوم بإدراجها مباشرة في استعلامات SQL الخاصة بـ ClickHouse عبر طريقة `.append()` (الموثقة باسم "SQL موثوق"). لا توجد قائمة مسموح بها (allowlist)، ولا ربط استعلامات معلمة (parameterized query binding)، ولا تحقق من صحة المدخلات. يمكن لمستخدم مُصادق عليه حقن SQL تعسفي في ClickHouse، مما يتيح قراءة قاعدة البيانات بالكامل (بما في ذلك بيانات التيليمتري من جميع المستأجرين)، وتعديل البيانات، والتنفيذ المحتمل للكود عن بُعد (RCE) عبر دوال جداول ClickHouse. تم إصلاح هذا الثغرة الأمنية في الإصدار 10.0.23.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

11/03/2026

إفشاء

13/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-350796

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

9.9 (CNA)

EPSS

0.00528

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-32306
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-32306
CVE Details	https://www.cvedetails.com/cve/CVE-2026-32306/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!