CVE-2025-65966OneUptime是一套用于监控和管理在线服务的解决方案。在9.0.5598版本中,存在一个访问控制缺陷,低权限用户可以通过直接API请求创建新账户,而不受预期界面的限制。正常情况下,用户创建功能应该仅对管理员或特定权限用户开放,但该漏洞允许任何低权限认证用户绕过权限检查,直接调用后端API创建任意账户。这可能导致未经授权的账户创建,进而可能被利用进行进一步的恶意操作,如权限提升或数据窃取。该漏洞已在新版本9.1.0中修复。
该漏洞的根本原因在于OneUptime的后端API端点缺少适当的权限验证。攻击者可以通过构造特定的HTTP POST请求,直接调用用户创建API端点(如/api/users或类似的注册接口),并提交必要的用户信息(如用户名、邮箱、密码等)。由于API层面未正确验证请求者的权限,任何已认证的低权限用户都可以成功创建新账户,无需经过前端界面的权限检查。攻击者可以利用此漏洞批量创建账户,甚至可能通过精心设计的请求参数来获取更高的权限级别。修复版本9.1.0增加了对API端点的权限检查,确保只有管理员才能执行用户创建操作。