CVE-2026-30959

Nome do Software Vulnerável e Versões Afetadas OneUptime (versões afetadas não especificadas)

Descrição O endpoint 'resend-verification-code' no OneUptime permite que um usuário autenticado acione o reenvio de um código de verificação para qualquer registro UserWhatsApp pelo seu itemId. Existe uma falha crítica porque o sistema não valida a propriedade do registro UserWhatsApp antes de permitir a operação de reenvio, ao contrário do endpoint 'verify'. Isso impacta o endpoint UserWhatsAppAPI.ts e o serviço UserWhatsAppService.ts. Um atacante com uma conta válida e token de acesso pode explorar isso para solicitar repetidamente códigos de verificação para o número de WhatsApp de qualquer usuário, potencialmente levando a spam, negação de serviço, ataques de engenharia social ou bloqueio de conta. O endpoint de API vulnerável é /api/user-whats-app/resend-verification-code, que aceita um payload JSON contendo o itemId do registro UserWhatsApp alvo. O parâmetro vulnerável é itemId.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.