Vulnerabilidad en OneUptime (CVE-2026-27574)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

21/02/2026

Última modificación:

23/02/2026

Descripción

OneUptime es una solución para monitorear y gestionar servicios en línea. En las versiones 9.5.13 e inferiores, la función de monitor JavaScript personalizado utiliza el módulo node:vm de Node.js (documentado explícitamente como no un mecanismo de seguridad) para ejecutar código proporcionado por el usuario, permitiendo un escape trivial de la sandbox a través de una línea de código bien conocida que otorga acceso completo al proceso subyacente. Debido a que la sonda se ejecuta con red de host y guarda todas las credenciales del clúster (ONEUPTIME_SECRET, DATABASE_PASSWORD, REDIS_PASSWORD, CLICKHOUSE_PASSWORD) en sus variables de entorno, y la creación de monitores está disponible para el rol más bajo (ProjectMember) con el registro abierto habilitado por defecto, cualquier usuario anónimo puede lograr un compromiso completo del clúster en aproximadamente 30 segundos. Este problema ha sido solucionado en la versión 10.0.5.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto