VDB-347818 · CVE-2026-27728 · GHSA-jmhp-5558-qxh5

oneuptime bis 10.0.6 performTraceroute erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
9.0	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle mit der Einstufung kritisch in oneuptime bis 10.0.6 gefunden. Davon betroffen ist die Funktion performTraceroute. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2026-27728. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

In oneuptime bis 10.0.6 wurde eine kritische Schwachstelle gefunden. Dabei geht es um die Funktion performTraceroute. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-78. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

OneUptime is a solution for monitoring and managing online services. Prior to version 10.0.7, an OS command injection vulnerability in `NetworkPathMonitor.performTraceroute()` allows any authenticated project user to execute arbitrary operating system commands on the Probe server by injecting shell metacharacters into a monitor's destination field. Version 10.0.7 fixes the vulnerability.

Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 23.02.2026 mit CVE-2026-27728 vorgenommen. Sie ist leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. MITRE ATT&CK führt die Angriffstechnik T1202 für diese Schwachstelle.

Ein Upgrade auf die Version 10.0.7 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches f2cce35a04fac756cecc7a4c55e23758b99288c1 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Name

oneuptime

Version

Lizenz

Open-Source

Webseite

Produkt: https://github.com/OneUptime/oneuptime/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 9.2
VulDB Meta Temp Score: 9.0

VulDB Base Score: 8.8
VulDB Temp Score: 8.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔒

CNA Base Score: 9.9
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: oneuptime 10.0.7
Patch: f2cce35a04fac756cecc7a4c55e23758b99288c1

Timelineinfo

23.02.2026 CVE zugewiesen
25.02.2026 +2 Tage Advisory veröffentlicht
25.02.2026 +0 Tage VulDB Eintrag erstellt
03.03.2026 +6 Tage VulDB Eintrag letzte Aktualisierung