CVE-2026-34759 in oneuptimeinformazioni

Riassunto

di VulDB • 21/06/2026

OneUptime è una piattaforma di monitoraggio e osservabilità open-source. Prima della versione 10.0.42, più endpoint dell'API per le notifiche sono registrati senza middleware di autenticazione, mentre gli endpoint correlati nello stesso codice sorgente utilizzano correttamente ClusterKeyAuthorization.isAuthorizedServiceMiddleware. Questi endpoint sono raggiungibili dall'esterno tramite il proxy Nginx su /notification/. Combinato con una fuoriuscita del projectId dall'API pubblica della Status Page, un attaccante non autenticato può acquistare numeri di telefono sull'account Twilio della vittima ed eliminare tutti i numeri di allerta esistenti. Questo problema è stato risolto nella versione 10.0.42.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

02/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00600

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!