Vulnerabilidad en Uptime Kuma (CVE-2026-33130)

Uptime Kuma es una herramienta de monitoreo de código abierto y autoalojada. En las versiones 1.23.0 a 2.2.0, la corrección de GHSA-vffh-c9pq-4crh no funciona completamente para prevenir la Inyección de Plantillas del Lado del Servidor (SSTI). Las tres mitigaciones añadidas al motor Liquid (root, relativeReference, dynamicPartials) solo bloquean rutas entre comillas. Si un proyecto utiliza una ruta absoluta sin comillas, los atacantes aún pueden leer cualquier archivo en el servidor. La corrección original en notification-provider.js solo restringe los dos primeros pasos de la resolución de archivos de LiquidJS (a través de las opciones root, relativeReference y dynamicPartials), pero el tercer paso, el fallback de require.resolve() en liquid.node.js no tiene una verificación de contención, permitiendo que rutas absolutas sin comillas como /etc /passwd se resuelvan con éxito. Las rutas entre comillas se bloquean solo porque los caracteres de comillas literales hacen que require.resolve('"/etc /passwd"') arroje un error MODULE_NOT_FOUND, no debido a ninguna medida de seguridad intencional. Este problema ha sido corregido en la versión 2.2.1.