CVE-2026-32308
🟡 Monitoruj
W OneUptime przed wersją 10.0.23 istniała podatność XSS w komponentach renderujących Markdown, umożliwiająca wykonanie dowolnego kodu JavaScript.
CVSS
7.6
EPSS
0.0%
Exploit
poc
Vendor
hackerbay
Opis źródłowy (NVD)
OneUptime is a solution for monitoring and managing online services. Prior to 10.0.23, the Markdown viewer component renders Mermaid diagrams with securityLevel: "loose" and injects the SVG output via innerHTML. This configuration explicitly allows interactive event bindings in Mermaid diagrams, enabling XSS through Mermaid's click directive which can execute arbitrary JavaScript. Any field that renders markdown (incident descriptions, status page announcements, monitor notes) is vulnerable. This vulnerability is fixed in 10.0.23.
exploit xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 7.6 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-03-13 19:54:42 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-17 20:08:07 UTC |
Referencje
- https://github.com/OneUptime/oneuptime/security/advisories/GHSA-wvh5-6vjm-23qh (security-advisories@github.com) [Exploit, Mitigation, Vendor Advisory]