CVE-2026-35053

Name of the Vulnerable Software and Affected Versions OneUptime versões anteriores a 10.0.42

Description A plataforma OneUptime, através do seu ManualAPI do serviço Worker, expõe endpoints de execução de workflow sem autenticação. Especificamente, os endpoints GET e POST /workflow/manual/run/:workflowId são vulneráveis. Um atacante que conseguir obter ou adivinhar um ID de workflow pode acionar a execução arbitrária de workflows com dados de entrada controlados pelo atacante. Isso pode levar à execução de código JavaScript, abuso de notificações e manipulação de dados.

Recommendations Atualize para a versão 10.0.42 ou posterior.