الثغرات ›

CVE-2026-30958

مرتفع ⚡ اختراق متاح

CWE-22 — نوع الضعف

                    نُشر: Mar 10, 2026                      ·  آخر تحديث: Mar 17, 2026                      ·  المصدر: NVD                

CVSS v3

7.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OneUptime is a solution for monitoring and managing online services. Prior to 10.0.21, an unauthenticated path traversal in the /workflow/docs/:componentName endpoint allows reading arbitrary files from the server filesystem. The componentName route parameter is concatenated directly into a file path passed to res.sendFile() in orker/FeatureSet/Workflow/Index.ts with no sanitization or authentication middleware. This vulnerability is fixed in 10.0.21.

🤖 ملخص AI

CVE-2026-30958 is an unauthenticated path traversal vulnerability in OneUptime versions before 10.0.21 that allows attackers to read arbitrary files from the server filesystem through the /workflow/docs/:componentName endpoint. The vulnerability exists due to unsanitized concatenation of user input directly into file paths without proper authentication checks.

📄 الوصف (العربية)

تؤثر هذه الثغرة على نقطة النهاية /workflow/docs/:componentName في OneUptime حيث يتم دمج معامل المسار مباشرة في مسار الملف دون تنظيف أو تحقق من المصادقة. يمكن للمهاجمين الاستفادة من هذا لقراءة ملفات حساسة مثل ملفات التكوين وبيانات قاعدة البيانات والمفاتيح الخاصة من خادم OneUptime.

🤖 ملخص تنفيذي (AI)

CVE-2026-30958 هو ثغرة اجتياز المسار غير المصرح بها في إصدارات OneUptime السابقة للإصدار 10.0.21 التي تسمح للمهاجمين بقراءة ملفات عشوائية من نظام ملفات الخادم. تنشأ الثغرة من عدم تنظيف إدخال المستخدم المدمج مباشرة في مسارات الملفات بدون فحوصات مصادقة مناسبة.

🤖 التحليل الذكي آخر تحليل: May 8, 2026 20:37

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government healthcare banking

🎯 تقنيات MITRE ATT&CK

T1083 T1190 T1566

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OneUptime to version 10.0.21 or later immediately. Implement input validation and sanitization for all route parameters, enforce authentication middleware on the /workflow/docs endpoint, use allowlist-based path validation, and apply principle of least privilege to file system access permissions.

🔧 خطوات المعالجة (العربية)

قم بترقية OneUptime إلى الإصدار 10.0.21 أو أحدث فوراً. قم بتطبيق التحقق من صحة الإدخال وتنظيفه لجميع معاملات المسار، وفرض برنامج مصادقة وسيط على نقطة النهاية /workflow/docs، واستخدم التحقق من المسار القائم على قائمة السماح، وطبق مبدأ أقل امتياز على أذونات الوصول إلى نظام الملفات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1 5.2.2

🔵 SAMA CSF

AC-2 AC-3 AC-6 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.9.2.1 A.9.4.3 A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://github.com/OneUptime/oneuptime/releases/tag/10.0.21

security-advisories@github.com

Product Release Notes

🔗

https://github.com/OneUptime/oneuptime/security/advisories/GHSA-p2wh-9pw8-hvff

security-advisories@github.com

Exploit Mitigation Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

hackerbay:oneuptime

📊 CVSS Score

7.2

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.2

CWECWE-22

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-10

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-22

🏢 توجيهات البائع

🔗 https://github.com/OneUptime/oneuptime/security/advi...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-30958

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب