CVE-2026-34759

Nome do Software Vulnerável e Versões Afetadas OneUptime versões anteriores a 10.0.42

Descrição OneUptime, uma plataforma de monitoramento e observabilidade de código aberto, possuía múltiplos endpoints de API de notificação registrados sem middleware de autenticação. Isso permitia que um invasor não autenticado comprasse potencialmente números de telefone na conta Twilio da vítima e excluísse números de alerta existentes. O problema decorreu da falta de verificação de autenticação nos endpoints /notification/, enquanto outros endpoints usavam corretamente a autenticação. Um vazamento de projectId da API pública da Página de Status contribuiu para a explorabilidade.

Recomendações Atualize para a versão 10.0.42 ou posterior.