OneUptime — это платформа для мониторинга и наблюдения с открытым исходным кодом. До версии 10.0.42 неаутентифицированный доступ к конечным точкам проверки уведомлений и управления номерами телефонов позволял злоупотреблять SMS/звонками/электронной почтой/WhatsApp и покупать номера телефонов. Эта проблема исправлена в версии 10.0.42.
Показать оригинальное описание (EN)
OneUptime is an open-source monitoring and observability platform. Prior to version 10.0.42, unauthenticated access to Notification test and Phone Number management endpoints allows SMS/Call/Email/WhatsApp abuse and phone number purchase. This issue has been patched in version 10.0.42.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Hackerbay Oneuptime
cpe:2.3:a:hackerbay:oneuptime:*:*:*:*:*:*:*:*
|
— |
10.0.40
|
Ссылки 3
https://github.com/OneUptime/oneuptime/commit/9adbd04538714740506708d6fa610e433…
security-advisories@github.com
https://github.com/OneUptime/oneuptime/releases/tag/10.0.42
security-advisories@github.com
https://github.com/OneUptime/oneuptime/security/advisories/GHSA-q253-6wcm-h8hp
security-advisories@github.com