OneUptime is a solution for monitoring and managing online services. In versions 9.5.13 and below, custom JavaScript monitor feature uses Node.js's node:vm module (explicitly documented as not a security mechanism) to execute user-supplied code, allowing trivial sandbox escape via a well-known one-liner that grants full access to the underlying process. Because the probe runs with host networking and holds all cluster credentials (ONEUPTIME_SECRET, DATABASE_PASSWORD, REDIS_PASSWORD, CLICKHOUSE_PASSWORD) in its environment variables, and monitor creation is available to the lowest role (ProjectMember) with open registration enabled by default, any anonymous user can achieve full cluster compromise in about 30 seconds. This issue has been fixed in version 10.0.5.
OneUptime versions 9.5.13 and below allow arbitrary code execution through a sandbox escape in the custom JavaScript monitor feature, exposing all cluster credentials stored in environment variables. An attacker with minimal privileges can execute arbitrary commands on the host system with full process access.
تمثل هذه الثغرة الأمنية خطراً حرجاً على المؤسسات التي تستخدم منصة OneUptime لمراقبة وإدارة الخدمات الإلكترونية. تنشأ المشكلة من الاستخدام غير الآمن لوحدة node:vm في Node.js والتي تم توثيقها صراحةً على أنها ليست آلية أمنية، إلا أن المنصة استخدمتها لتنفيذ أكواد جافا سكريبت المخصصة المقدمة من المستخدمين. يمكن للمهاجمين استغلال هذه الثغرة بسهولة باستخدام أمر برمجي بسيط للهروب من بيئة العزل والوصول إلى العملية الأساسية للنظام. نظراً لأن خدمة المراقبة تعمل بصلاحيات شبكية كاملة وتحتفظ بجميع بيانات اعتماد النظام في متغيرات البيئة، فإن أي مستخدم مجهول يمكنه تحقيق اختراق كامل للنظام. تزداد خطورة الثغرة بسبب تمكين التسجيل المفتوح افتراضياً وإتاحة إنشاء أدوات المراقبة لأدنى مستوى من الصلاحيات. تم إصدار تحديث أمني في الإصدار 10.0.5 لمعالجة هذه الثغرة الحرجة.
تحتوي منصة OneUptime في الإصدارات 9.5.13 وما دونها على ثغرة حرجة للهروب من بيئة العزل (CVE-2026-27574) بدرجة خطورة 9.9 حسب مقياس CVSS. تستخدم ميزة مراقبة جافا سكريبت المخصصة وحدة node:vm في Node.js بشكل غير آمن لتنفيذ أكواد يوفرها المستخدم، مما يسمح للمهاجمين بالهروب من بيئة العزل باستخدام أمر بسيط. يمكن للمستخدمين المجهولين ذوي أدنى مستوى صلاحيات استغلال هذه الثغرة للحصول على وصول كامل لبيانات اعتماد النظام بما في ذلك كلمات مرور قواعد البيانات وخدمات Redis وClickHouse، مما يؤدي إلى اختراق كامل للنظام في غضون ثلاثين ثانية تقريباً.
Immediately upgrade OneUptime to version 9.5.14 or later, disable the custom JavaScript monitor feature until patched, and rotate all exposed credentials (ONEUPTIME_SECRET, DATABASE_PASSWORD, REDIS_PASSWORD, CLICKHOUSE_PASSWORD).
قم بترقية OneUptime فوراً إلى الإصدار 9.5.14 أو أحدث وقم بتدوير جميع بيانات الاعتماد المكشوفة في متغيرات البيئة.