CVE-2026-33142 in oneuptimeИнформация

Сводка

по VulDB • 27.05.2026

OneUptime — это решение для мониторинга и управления онлайн-сервисами. До версии 10.0.34 исправление для CVE-2026-32306 (SQL-инъекция в ClickHouse через параметры агрегатных запросов) добавило проверку имен столбцов в методе _aggregateBy, но не применило аналогичную проверку к трем другим путям формирования запросов в StatementGenerator. Методы toSortStatement, toSelectStatement и toGroupByStatement принимают управляемые пользователем ключи объектов из тел API-запросов и интерполируют их как параметры идентификаторов ClickHouse без проверки соответствия фактическим столбцам модели. Параметры идентификаторов ClickHouse подставляются в запросы напрямую без экранирования, поэтому атакующий, имеющий доступ к любому эндпоинту списка аналитики или агрегации, может внедрить произвольный SQL-код через специально созданные ключи sort, select или groupBy. Эта проблема была исправлена в версии 10.0.34.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

17.03.2026

Раскрытие

20.03.2026

Модерация

принято

Вход

VDB-352132

EPSS

0.00014

KEV

Нет

Деятельности

Очень низкий

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33142
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33142
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33142/

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!