OneUptime命令注入漏洞CVE-2026-27728

OneUptime 是一款开源、一体化的全栈可观测性与可靠性平台，该平台可支持自托管与云服务，适配从个人到企业的全场景运维需求。

一、基本情况

OneUptime以MIT/Apache 2.0开源，集主动监控、日志/指标/追踪、APM、错误追踪、告警排班、事件管理、状态页与AI自动修复一体。

OneUptime（开源可观测性平台）主打一站式替代 Pingdom、PagerDuty、StatusPage、New Relic 商业工具，支持自托管与云服务。

栋科技漏洞库关注到OneUptime 10.0.7 之前版本中的系统命令注入漏洞，该漏洞现已被追踪为CVE-2026-27728，CVSS 3.X评分6.8。

二、漏洞分析

CVE-2026-27728漏洞是在线服务监控与管理平台 OneUptime 存在的一处高危操作系统命令注入漏洞，可能导致服务器被接管等风险。

该漏洞允许任何经过身份验证的项目用户通过在监控目标字段注入 shell 元字符来执行任意操作系统命令，进而对探针服务器产生影响。

该高危安全漏洞存在于 OneUptime Probe Server 组件中的 NetworkPathMonitor.performTraceroute () 函数。

该函数主要负责网络路由追踪（traceroute）操作，并接收用户可控输入，具体为监控配置中的目标地址（destination）字段。

而该漏洞根源在于应用对该输入的处理方式：存在风险的代码直接使用 Node.js child_process 模块中的 exec () 函数启动 Shell 命令。

由于 exec () 会在 Shell 环境中执行命令，可被；、|、&、$()、反引号等 Shell 元字符解析利用。

因此就导致了攻击者可以借此脱离原本仅执行 traceroute 的正常逻辑，从而注入并执行恶意命令。

尽管产品设计仅允许用户配置监控端点，但该漏洞可导致任意已认证项目用户（即便权限受限），都能在底层 Probe 服务器完整RCE。

攻击者通过构造恶意监控配置，即可在目标地址字段中填入 Shell 元字符拼接任意命令，且利用该漏洞仅需项目用户级别的低权限认证。

攻击者可以实现诸如注入 example.com; cat /etc/passwd 或 $（恶意命令），即可在执行路由追踪的同时运行注入指令。

由于 Probe 服务器处理该监控任务时，注入命令将以与 Probe 服务进程相同的权限运行，从而导致服务器被完全攻陷，潜在风险重大。

该漏洞可使已认证用户在 Probe 服务器上执行任意系统命令，导致服务器被完全接管、敏感数据被窃取，并在机构内网进行横向移动。

三、影响范围

OneUptime < 10.0.7

四、修复建议

OneUptime >= 10.0.7

五、参考链接

管理员已设置登录后刷新可查看