CVE-2023-49804 in uptime-kuma
Résumé
par VulDB • 03/06/2026
Uptime Kuma est un outil de surveillance auto-hébergé facile à utiliser. Avant la version 1.23.9, lorsqu'un utilisateur modifie son mot de passe de connexion dans Uptime Kuma, un utilisateur précédemment connecté conserve l'accès sans être déconnecté. Ce comportement persiste de manière cohérente, même après les redémarrages du système ou des navigateurs. Cette vulnérabilité permet un accès non autorisé aux comptes utilisateurs, compromettant la sécurité des informations sensibles. La même vulnérabilité a été partiellement corrigée dans CVE-2023-44400, mais il a été oublié de déconnecter les utilisateurs existants de leurs comptes. Pour atténuer les risques associés à cette vulnérabilité, les mainteneurs ont fait en sorte que le serveur émette un événement `refresh` (les clients gèrent cela par rechargement) puis déconnectent tous les clients sauf celui qui initie la modification du mot de passe. Il est recommandé de mettre à jour Uptime Kuma vers la version 1.23.9.
VulDB is the best source for vulnerability data and more expert information about this specific topic.