OneUptime命令注入漏洞可致服务器被完全接管

在线服务监控与管理平台 OneUptime 被曝出一处高危命令注入漏洞，编号为 CVE-2026-27728。

该漏洞可使已认证用户在 Probe 服务器上执行任意系统命令，存在服务器被完全接管的重大风险。

使用 10.0.7 之前版本的机构建议立即安装补丁。

网络安全厂商 SentinelOne 通报，该漏洞存在于 OneUptime Probe Server 组件中的 NetworkPathMonitor.performTraceroute () 函数。

该函数负责网络路由追踪（traceroute）操作，并接收用户可控输入，具体为监控配置中的目标地址（destination）字段。

漏洞根源在于应用对该输入的处理方式：存在风险的代码直接使用 Node.js child_process 模块中的 exec () 函数启动 Shell 命令。

由于 exec () 会在 Shell 环境中执行命令，可被；、|、&、$()、反引号等 Shell 元字符解析利用。

攻击者借此可脱离原本仅执行 traceroute 的正常逻辑，注入并执行恶意命令。

尽管产品设计仅允许用户配置监控端点，但该漏洞可导致任意已认证项目用户（即便权限受限），都能在底层 Probe 服务器上实现完整远程代码执行（RCE）。

利用该漏洞仅需项目用户级别的低权限认证。

攻击者可构造恶意监控配置，在目标地址字段中填入 Shell 元字符拼接任意命令。

例如注入 example.com; cat /etc/passwd 或 $(恶意命令)，即可在执行路由追踪的同时运行注入指令。

Probe 服务器处理该监控任务时，注入命令将以与 Probe 服务进程相同的权限运行。

这会直接导致服务器被完全攻陷，攻击者可窃取敏感数据，并在机构内网中进行横向移动。

OneUptime 已在 10.0.7 版本中修复该问题。安全补丁将存在风险的 exec () 替换为 execFile ()。

与 exec () 不同，execFile () 会直接执行指定文件，并以数组形式传递参数，不会启动 Shell 环境。

此举可阻止 Shell 元字符被解析，从根源上消除命令注入攻击面。

为防范 CVE-2026-27728 漏洞，机构可采取以下措施：