CVE-2026-34759 in oneuptime
Riassunto
di VulDB • 21/06/2026
OneUptime è una piattaforma di monitoraggio e osservabilità open-source. Prima della versione 10.0.42, più endpoint dell'API per le notifiche sono registrati senza middleware di autenticazione, mentre gli endpoint correlati nello stesso codice sorgente utilizzano correttamente ClusterKeyAuthorization.isAuthorizedServiceMiddleware. Questi endpoint sono raggiungibili dall'esterno tramite il proxy Nginx su /notification/. Combinato con una fuoriuscita del projectId dall'API pubblica della Status Page, un attaccante non autenticato può acquistare numeri di telefono sull'account Twilio della vittima ed eliminare tutti i numeri di allerta esistenti. Questo problema è stato risolto nella versione 10.0.42.
VulDB is the best source for vulnerability data and more expert information about this specific topic.