Vulnerabilities ›

CVE-2026-27574

Critical ⚡ Exploit Available

Critical Sandbox Escape Vulnerability in OneUptime Monitoring Platform Enables Full Cluster Compromise

CWE-94 — Weakness Type

                    Published: Feb 21, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

9.9

🔗 NVD Official

📄 Description (English)

OneUptime is a solution for monitoring and managing online services. In versions 9.5.13 and below, custom JavaScript monitor feature uses Node.js's node:vm module (explicitly documented as not a security mechanism) to execute user-supplied code, allowing trivial sandbox escape via a well-known one-liner that grants full access to the underlying process. Because the probe runs with host networking and holds all cluster credentials (ONEUPTIME_SECRET, DATABASE_PASSWORD, REDIS_PASSWORD, CLICKHOUSE_PASSWORD) in its environment variables, and monitor creation is available to the lowest role (ProjectMember) with open registration enabled by default, any anonymous user can achieve full cluster compromise in about 30 seconds. This issue has been fixed in version 10.0.5.

🤖 AI Executive Summary

OneUptime versions 9.5.13 and below allow arbitrary code execution through a sandbox escape in the custom JavaScript monitor feature, exposing all cluster credentials stored in environment variables. An attacker with minimal privileges can execute arbitrary commands on the host system with full process access.

📄 Description (Arabic)

تمثل هذه الثغرة الأمنية خطراً حرجاً على المؤسسات التي تستخدم منصة OneUptime لمراقبة وإدارة الخدمات الإلكترونية. تنشأ المشكلة من الاستخدام غير الآمن لوحدة node:vm في Node.js والتي تم توثيقها صراحةً على أنها ليست آلية أمنية، إلا أن المنصة استخدمتها لتنفيذ أكواد جافا سكريبت المخصصة المقدمة من المستخدمين. يمكن للمهاجمين استغلال هذه الثغرة بسهولة باستخدام أمر برمجي بسيط للهروب من بيئة العزل والوصول إلى العملية الأساسية للنظام. نظراً لأن خدمة المراقبة تعمل بصلاحيات شبكية كاملة وتحتفظ بجميع بيانات اعتماد النظام في متغيرات البيئة، فإن أي مستخدم مجهول يمكنه تحقيق اختراق كامل للنظام. تزداد خطورة الثغرة بسبب تمكين التسجيل المفتوح افتراضياً وإتاحة إنشاء أدوات المراقبة لأدنى مستوى من الصلاحيات. تم إصدار تحديث أمني في الإصدار 10.0.5 لمعالجة هذه الثغرة الحرجة.

🤖 ملخص تنفيذي (AI)

تحتوي منصة OneUptime في الإصدارات 9.5.13 وما دونها على ثغرة حرجة للهروب من بيئة العزل (CVE-2026-27574) بدرجة خطورة 9.9 حسب مقياس CVSS. تستخدم ميزة مراقبة جافا سكريبت المخصصة وحدة node:vm في Node.js بشكل غير آمن لتنفيذ أكواد يوفرها المستخدم، مما يسمح للمهاجمين بالهروب من بيئة العزل باستخدام أمر بسيط. يمكن للمستخدمين المجهولين ذوي أدنى مستوى صلاحيات استغلال هذه الثغرة للحصول على وصول كامل لبيانات اعتماد النظام بما في ذلك كلمات مرور قواعد البيانات وخدمات Redis وClickHouse، مما يؤدي إلى اختراق كامل للنظام في غضون ثلاثين ثانية تقريباً.

🤖 AI Intelligence Analysis Analyzed: Apr 4, 2026 17:08

🇸🇦 Saudi Arabia Impact Assessment

Relevance: high

🏢 Affected Saudi Sectors

القطاع المالي والمصرفي قطاع الاتصالات وتقنية المعلومات القطاع الصحي البنية التحتية الحيوية القطاع الحكومي قطاع التجارة الإلكترونية قطاع الطاقة والمرافق

🎯 MITRE ATT&CK Techniques

T1190 T1059.007 T1068 T1552.001 T1078 T1021 T1550.001

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade OneUptime to version 9.5.14 or later, disable the custom JavaScript monitor feature until patched, and rotate all exposed credentials (ONEUPTIME_SECRET, DATABASE_PASSWORD, REDIS_PASSWORD, CLICKHOUSE_PASSWORD).

🔧 خطوات المعالجة (العربية)

قم بترقية OneUptime فوراً إلى الإصدار 9.5.14 أو أحدث وقم بتدوير جميع بيانات الاعتماد المكشوفة في متغيرات البيئة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-1: تطبيق آليات المصادقة والتحكم بالوصول ECC-1-2: إدارة الصلاحيات والحد الأدنى من الامتيازات ECC-3-1: إدارة الثغرات الأمنية والتحديثات ECC-4-1: المراقبة والكشف عن التهديدات السيبرانية ECC-5-1: الاستجابة للحوادث السيبرانية ECC-6-1: حماية البيانات والمعلومات الحساسة

🔵 SAMA CSF

CCC-1.1: إدارة الأصول التقنية CCC-2.1: التحكم في الوصول والهوية CCC-3.2: إدارة الثغرات الأمنية CCC-4.1: المراقبة الأمنية المستمرة CCC-5.1: الاستجابة للحوادث الأمنية CCC-6.2: حماية البيانات الحساسة

🟡 ISO 27001:2022

A.9.2.1: تسجيل وإلغاء تسجيل المستخدمين A.9.4.1: تقييد الوصول إلى المعلومات A.12.6.1: إدارة الثغرات التقنية A.12.6.2: قيود على تثبيت البرمجيات A.16.1.2: الإبلاغ عن الأحداث الأمنية A.18.2.3: المراجعة الفنية للامتثال

🔗 References & Sources 2

🔗

https://github.com/OneUptime/oneuptime/commit/7f9ed4d43945574702a26b7c206e38cc344fe427

security-advisories@github.com

Patch

🔗

https://github.com/OneUptime/oneuptime/security/advisories/GHSA-v264-xqh4-9xmm

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

hackerbay:oneuptime

📊 CVSS Score

9.9

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score9.9

CWECWE-94

EPSS0.06%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-02-21

Source Feed nvd

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available patch-available CWE-94

🏢 Vendor Advisories

🔗 https://github.com/OneUptime/oneuptime/security/advi...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-27574

Introduce Yourself

Sign In Required