Vulnerabilidad en oneuptime de OneUptime (CVE-2026-33396)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

26/03/2026

Última modificación:

26/03/2026

Descripción

OneUptime es una plataforma de monitoreo y observabilidad de código abierto. Antes de la versión 10.0.35, un usuario autenticado con bajos privilegios (ProjectMember) puede lograr la ejecución remota de comandos en el contenedor/host de Probe abusando de la ejecución de scripts de Playwright del Monitor Sintético. El código del monitor sintético se ejecuta en VMRunner.runCodeInNodeVM con un objeto de página de Playwright en vivo en contexto. El sandbox se basa en una lista de denegación de propiedades/métodos bloqueados, pero está incompleta. Específicamente, _browserType y launchServer no están bloqueados, por lo que el código del atacante puede recorrer &#39;page.context().browser()._browserType.launchServer(...)&#39; y generar procesos arbitrarios. La versión 10.0.35 contiene un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto