CVE-2026-33142 in oneuptimeالمعلومات

الملخص

بحسب VulDB • 14/05/2026

OneUptime هو حل لمراقبة وإدارة الخدمات عبر الإنترنت. قبل الإصدار 10.0.34، أضاف الإصلاح الخاص بـ CVE-2026-32306 (حقن SQL في ClickHouse عبر معاملات الاستعلام التجميعي) التحقق من صحة أسماء الأعمدة في طريقة `_aggregateBy`، لكنه لم يطبق نفس التحقق على مسارات بناء الاستعلام الأخرى الثلاث في `StatementGenerator`. تقبل الطرق `toSortStatement` و `toSelectStatement` و `toGroupByStatement` مفاتيح كائنات يتحكم فيها المستخدم من أجسام طلبات واجهة برمجة التطبيقات (API) وتقوم بتضمينها كمعاملات لمعرفات ClickHouse (ClickHouse Identifier parameters) دون التحقق من مطابقتها لأعمدة النموذج الفعلية. يتم استبدال معاملات معرفات ClickHouse مباشرة في الاستعلامات دون الهروب من الأحرف الخاصة (escaping)، لذا يمكن لمهاجم قادر على الوصول إلى أي قائمة تحليلية أو نقطة نهاية تجميعية حقن SQL تعسفي عبر مفاتيح `sort` أو `select` أو `groupBy` مُعدّة بشكل متلاعب. تم إصلاح هذه المشكلة في الإصدار 10.0.34.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

17/03/2026

إفشاء

20/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352132

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00014

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33142
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33142
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33142/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!