OneUptime — это платформа для мониторинга и наблюдения с открытым исходным кодом. До версии 10.0.42 ManualAPI рабочей службы предоставляет конечные точки выполнения рабочего процесса (GET /workflow/manual/run/:workflowId и POST /workflow/manual/run/:workflowId) без какого-либо промежуточного программного обеспечения для проверки подлинности. Злоумышленник, который может получить или угадать идентификатор рабочего процесса, может инициировать выполнение произвольного рабочего процесса с входными данными, контролируемыми злоумышленником, что позволяет выполнять код JavaScript, злоупотреблять уведомлениями и манипулировать данными.
Эта проблема исправлена в версии 10.0.42.
Показать оригинальное описание (EN)
OneUptime is an open-source monitoring and observability platform. Prior to version 10.0.42, the Worker service's ManualAPI exposes workflow execution endpoints (GET /workflow/manual/run/:workflowId and POST /workflow/manual/run/:workflowId) without any authentication middleware. An attacker who can obtain or guess a workflow ID can trigger arbitrary workflow execution with attacker-controlled input data, enabling JavaScript code execution, notification abuse, and data manipulation. This issue has been patched in version 10.0.42.
Характеристики атаки
Последствия
Строка CVSS v4.0