CVE-2026-33142 in oneuptime
要約
〜によって VulDB • 2026年05月09日
OneUptimeは、オンラインサービスの監視および管理のためのソリューションです。バージョン10.0.34より前では、CVE-2026-32306(集計クエリパラメータを介したClickHouseのSQLインジェクション)の修正により、_aggregateByメソッドにカラム名の検証が追加されましたが、StatementGenerator内の他の3つのクエリ構築パスには同じ検証が適用されませんでした。toSortStatement、toSelectStatement、およびtoGroupByStatementメソッドは、APIリクエストボディからユーザー制御可能なオブジェクトキーを受け取り、それらが実際のモデルカラムに対応しているかどうかを確認せずに、ClickHouseのIdentifierパラメータとして補間します。ClickHouseのIdentifierパラメータはエスケープ処理なしでクエリに直接置換されるため、攻撃者が任意の分析リストまたは集計エンドポイントに到達できる場合、整形されたsort、select、またはgroupByキーを通じて任意のSQLをインジェクションすることができます。この問題はバージョン10.0.34で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.