Vulnerabilidad en OneUptime Affected by Unsandboxed Code Execution in Probe Allows Any Project Member to Achieve RCE (CVE-2026-30887)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

10/03/2026

Última modificación:

12/03/2026

Descripción

OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de la versión 10.0.18, OneUptime permite a los miembros del proyecto ejecutar código Playwright/JavaScript personalizado a través de Monitores Sintéticos para probar sitios web. Sin embargo, el sistema ejecuta este código de usuario no confiable dentro del módulo vm inseguro de Node.js. Al aprovechar un escape estándar de la cadena de prototipos (this.constructor.constructor), un atacante puede eludir la sandbox, obtener acceso al objeto de proceso subyacente de Node.js y ejecutar comandos de sistema arbitrarios (RCE) en el contenedor oneuptime-probe. Además, debido a que la sonda guarda las credenciales de la base de datos/clúster en sus variables de entorno, esto conduce directamente a un compromiso completo del clúster. Esta vulnerabilidad está corregida en la versión 10.0.18.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto