Vulnerabilidad en uptime-kuma de louislam (CVE-2026-32230)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/03/2026
Última modificación:
19/03/2026
Descripción
Uptime Kuma es una herramienta de monitoreo de código abierto y autoalojada. Desde la versión 2.0.0 hasta la 2.1.3, el endpoint GET /api/badge/:id/ping/:duration? en servidor/routers/api-router.js no verifica que el monitor solicitado pertenezca a un grupo público. Todos los demás endpoints de insignia verifican AND public = 1 en su consulta SQL antes de devolver datos. El endpoint de ping omite esta verificación por completo, permitiendo a usuarios no autenticados extraer datos de tiempo promedio de ping/respuesta para monitores privados. Esta vulnerabilidad está corregida en la versión 2.2.0.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:uptime.kuma:uptime_kuma:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/louislam/uptime-kuma/commit/303a609c05d0b174a5045c90f53c2b557d4febae
- https://github.com/louislam/uptime-kuma/issues/7038
- https://github.com/louislam/uptime-kuma/issues/7135
- https://github.com/louislam/uptime-kuma/releases/tag/2.2.0
- https://github.com/louislam/uptime-kuma/security/advisories/GHSA-c7hf-c5p5-5g6h
- https://github.com/louislam/uptime-kuma/security/advisories/GHSA-c7hf-c5p5-5g6h