CVE-2023-36822 in Uptime Kuma
Resumen
por VulDB • 2026-07-11
Uptime Kuma, una herramienta de monitorización autoalojada, presenta una vulnerabilidad de traversía de rutas en las versiones anteriores a la 1.22.1. Uptime Kuma permite a los usuarios autenticados instalar plugins desde una lista oficial de plugins. Esta función está actualmente deshabilitada en la interfaz web, pero los puntos finales (endpoints) correspondientes de la API siguen estando disponibles después del inicio de sesión. Antes de descargar un plugin, se verifica si existe el directorio de instalación del mismo. Si este existe, se elimina antes de proceder a la instalación del plugin. Dado que el plugin no es validado contra la lista oficial ni sanitizado, tanto la comprobación de existencia como la eliminación del directorio de instalación son susceptibles a una traversía de rutas (path traversal). Esta vulnerabilidad permite a un atacante autenticado eliminar archivos desde el servidor en el que se ejecuta Uptime Kuma. Dependiendo de los archivos eliminados, Uptime Kuma o incluso todo el sistema pueden quedar indisponibles debido a la pérdida de datos.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.