概要
OneUptimeは、オンラインサービスの監視および管理ソリューションです。この度、OneUptimeのGitHub App連携機能において、アクセス制御の不備(CVE-2026-30920)が報告されました。この脆弱性は、GitHub Appのコールバック処理が、攻撃者によって制御されうるstateおよびinstallation_idの値を信頼し、ターゲットプロジェクトに対する呼び出し元の認証を検証せずにProject.gitHubAppInstallationIdを更新してしまうことに起因します。
影響範囲
OneUptimeのバージョン10.0.19より前のバージョンがこの脆弱性の影響を受けます。
想定される影響
- 攻撃者がGitHub Appのインストール情報を不正に上書きし、他のプロジェクトに紐付けられたGitHub Appのバインディングを乗っ取る可能性があります。
- 関連するGitHubエンドポイントも認証が不十分であるため、有効なインストールIDが利用された場合、攻撃者が任意のプロジェクトのリポジトリ情報を列挙したり、不正なCodeRepositoryレコードを作成したりする可能性があります。
攻撃成立条件・悪用状況
攻撃者は、GitHub Appのコールバック処理において、stateおよびinstallation_idの値を操作することで、不正なプロジェクトバインディングを確立できると報告されています。また、関連するGitHubエンドポイントの認証不備により、有効なインストールIDがあればリポジトリの列挙やCodeRepositoryレコードの作成が可能とされています。
現時点での具体的な悪用状況については、この情報からは確認できません。
推奨対策
最優先で実施すべき対策
- OneUptimeのアップデート: OneUptimeをバージョン10.0.19以降に速やかにアップデートしてください。このバージョンで脆弱性は修正されています。
一時的な緩和策
本脆弱性に対する具体的な一時的な緩和策は、情報からは提示されていません。GitHub App連携の利用を一時的に停止することも考えられますが、業務への影響を慎重に評価する必要があります。
確認方法
現在ご利用中のOneUptimeのバージョンを確認してください。バージョンが10.0.19未満である場合、本脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-30920 詳細: https://cvefeed.io/vuln/detail/CVE-2026-30920