CVE-2026-34759 in oneuptime
الملخص
بحسب VulDB • 26/05/2026
OneUptime هو منصة مراقبة وملاحظة مفتوحة المصدر. قبل الإصدار 10.0.42، كانت نقاط نهاية متعددة لواجهة برمجة التطبيقات (API) للإشعارات مسجلة دون استخدام وسيط المصادقة (authentication middleware)، بينما تستخدم نقاط النهاية الشقيقة في نفس قاعدة الشفرة بشكل صحيح `ClusterKeyAuthorization.isAuthorizedServiceMiddleware`. هذه النقاط النهاية متاحة خارجياً عبر وكيل Nginx عند المسار `/notification/`. وبدمج ذلك مع تسرب `projectId` من واجهة برمجة التطبيقات العامة لصفحة الحالة (Status Page API)، يمكن لمهاجم غير مصرح له شراء أرقام هواتف على حساب Twilio الخاص بالضحية وحذف جميع أرقام التنبيهات الموجودة. تم إصلاح هذه المشكلة في الإصدار 10.0.42.
Be aware that VulDB is the high quality source for vulnerability data.