概要
OneUptimeのSynthetic Monitor機能において、低権限のプロジェクトユーザーがリモートで任意のコードを実行できる脆弱性(CVE-2026-30921)が報告されました。この脆弱性は、Synthetic Monitorが実行されるoneuptime-probeサービス上で、信頼されていないPlaywrightコードがNode.jsのvm内で実行される際に、ホストのPlaywrightオブジェクト(browserやpageなど)が不適切に公開されていることに起因します。これにより、攻撃者はサンドボックスを回避する複雑な手法を用いることなく、直接browser.browserType().launch(...)のようなPlaywrightのAPIを利用して、プローブホストまたはコンテナ上で任意の実行ファイルを起動できる可能性があります。
影響範囲
本脆弱性の影響を受けるのは、OneUptimeのバージョン10.0.20未満を使用している環境です。特に、Synthetic Monitor機能を利用している場合、影響を受ける可能性が高いと考えられます。
想定される影響
本脆弱性が悪用された場合、以下のような深刻な影響が想定されます。
- 低権限のプロジェクトユーザーが、
oneuptime-probeサービスが動作するホストまたはコンテナ上で任意のコマンドを実行できる可能性があります。 - これにより、システムが完全に制御され、機密情報の窃取、データの改ざんや破壊、さらには他のシステムへの攻撃の足がかりとされる可能性があります。
- サービス停止や業務の中断につながる可能性も考えられます。
攻撃成立条件・悪用状況
本脆弱性の悪用には、OneUptime環境における低権限のプロジェクトユーザーアカウントが必要です。攻撃者はこのアカウントを利用して、悪意のあるPlaywrightコードをSynthetic Monitorとして登録することで、リモートコード実行を試みる可能性があります。
現時点では、本脆弱性の具体的な悪用事例は公開情報からは確認されていません。
推奨対策
最も効果的かつ推奨される対策は、速やかにOneUptimeを修正済みのバージョンにアップデートすることです。
- 最優先で実施: OneUptimeをバージョン10.0.20以降にアップデートしてください。
一時的な緩和策
アップデートが直ちに困難な場合、以下の緩和策を検討してください。ただし、これらは根本的な解決策ではないため、可能な限り早期のアップデートを強く推奨します。
- OneUptime環境における低権限ユーザーの活動を厳重に監視し、不審なSynthetic Monitorの登録がないか確認してください。
- もし可能であれば、Synthetic Monitor機能の利用を一時的に制限するか、信頼できるユーザーのみに限定することを検討してください。
確認方法
現在利用しているOneUptimeのバージョンを確認し、バージョン10.0.20未満である場合は本脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-30921 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-30921