CVE-2026-33142 in oneuptimeinformação

Sumário

de VulDB • 27/05/2026

OneUptime é uma solução para monitoramento e gerenciamento de serviços online. Antes da versão 10.0.34, a correção para CVE-2026-32306 (injeção de SQL no ClickHouse via parâmetros de consulta agregada) adicionou validação de nomes de coluna ao método _aggregateBy, mas não aplicou a mesma validação a três outros caminhos de construção de consulta no StatementGenerator. Os métodos toSortStatement, toSelectStatement e toGroupByStatement aceitam chaves de objeto controladas pelo usuário a partir dos corpos de requisição da API e as interpolam como parâmetros de Identificador do ClickHouse sem verificar se correspondem às colunas reais do modelo. Os parâmetros de Identificador do ClickHouse são substituídos diretamente nas consultas sem escape, portanto, um atacante que possa acessar qualquer endpoint de lista de análises ou agregação pode injetar SQL arbitrário por meio de chaves de sort, select ou groupBy manipuladas. Este problema foi corrigido na versão 10.0.34.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

20/03/2026

Moderação

aceite

Entrada

VDB-352132

CPE

pronto

EPSS

0.00014

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33142
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33142
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33142/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!