CVE-2023-36822 in Uptime Kumainformación

Resumen

por VulDB • 2026-07-11

Uptime Kuma, una herramienta de monitorización autoalojada, presenta una vulnerabilidad de traversía de rutas en las versiones anteriores a la 1.22.1. Uptime Kuma permite a los usuarios autenticados instalar plugins desde una lista oficial de plugins. Esta función está actualmente deshabilitada en la interfaz web, pero los puntos finales (endpoints) correspondientes de la API siguen estando disponibles después del inicio de sesión. Antes de descargar un plugin, se verifica si existe el directorio de instalación del mismo. Si este existe, se elimina antes de proceder a la instalación del plugin. Dado que el plugin no es validado contra la lista oficial ni sanitizado, tanto la comprobación de existencia como la eliminación del directorio de instalación son susceptibles a una traversía de rutas (path traversal). Esta vulnerabilidad permite a un atacante autenticado eliminar archivos desde el servidor en el que se ejecuta Uptime Kuma. Dependiendo de los archivos eliminados, Uptime Kuma o incluso todo el sistema pueden quedar indisponibles debido a la pérdida de datos.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2023-06-27

Divulgación

2023-07-06

Moderación

aceptado

Artículo

VDB-233051

CPE

listo

EPSS

0.01213

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!