开源监控平台OneUptime最近被安全圈盯上了。网络安全厂商SentinelOne披露,该平台Probe Server组件存在一处高危命令注入漏洞,编号CVE-2026-27728。攻击门槛极低,任意已认证的项目用户都能在底层服务器上执行任意系统命令,直接触发RCE远程代码执行,服务器被完全接管的风险极高。目前官方已在10.0.7版本中完成修复,使用旧版本的团队建议尽快安排升级。
漏洞根因:一个函数调用埋下的雷
问题出在Probe Server的NetworkPathMonitor.performTraceroute()函数上。这个函数负责执行网络路由追踪,接收用户配置的监控目标地址作为输入。按正常逻辑,它应该只跑一条纯粹的traceroute指令,但代码实现时直接调用了Node.jschild_process模块里的exec()。
exec()有个致命特性:它会启动一个完整的Shell环境来解析传入的命令字符串。这意味着用户输入一旦包含;、|、&、$()或反引号这类Shell元字符,就会被Shell解释器当作独立指令执行。攻击者只需要在目标地址字段里拼接恶意命令,比如填个example.com; cat /etc/passwd或者$(whoami),Probe服务器执行traceroute时就会顺带把注入的指令一并跑起来。
更麻烦的是,注入命令继承的是Probe服务进程的权限。在很多部署环境里,这个权限并不低,攻击者拿到手后完全可以进一步提权、读取敏感配置、植入持久化后门,甚至以此为跳板在内网横向移动。
攻击路径:监控配置成了武器
利用这个CVE-2026-27728漏洞,攻击者不需要管理员权限,一个普通的项目用户账号就够了。具体手法很直接:
登录OneUptime后新建或修改一个监控项,在目标地址字段写入带有Shell元字符的Payload。Probe服务器轮询到这个监控任务时,会调用存在风险的performTraceroute()函数。由于exec()不做参数隔离,输入内容被直接拼进命令行,恶意代码随之执行。整个过程对攻击者来说几乎是透明的,服务器端很难在事前察觉异常。
这类漏洞的隐蔽性在于,它寄生在一个看起来完全正常的业务功能里。traceroute是网络监控的常规操作,安全团队通常不会把这类流量列为高危行为,导致攻击窗口期被拉长。
修复方案:从exec()到execFile()
OneUptime官方在10.0.7版本里做了针对性修补。核心改动是把exec()替换为execFile(),同时引入了目标地址的输入校验机制。
execFile()的工作方式与exec()有本质区别。它直接执行指定的二进制文件,参数以数组形式传递,不会经过Shell解释器。换句话说,就算用户输入里塞满了管道符和分号,这些字符也只会被当作普通字符串参数处理,不会触发额外的命令执行。配合地址格式校验,攻击面被从根上掐断。
对于还在跑旧版本的团队,升级是最干净的解决方式。10.0.7之前的所有版本都受这个OneUptime命令注入漏洞影响,拖到越久暴露面越大。
企业应急防护建议
如果暂时没法立即打补丁,可以采取几层临时防护措施降低风险:
隔离Probe服务器网络访问。把Probe节点放到独立的网络区域,限制其对内网核心资产的直连能力。即便被突破,也能阻断横向移动的通道。
审计现有监控配置。逐个检查当前所有监控项的目标地址字段,排查是否包含;、|、$()、反引号等特殊字符。发现异常值立即清除,并追溯配置修改记录。
收紧项目用户权限。在升级前,仅向可信人员开放项目用户权限,避免低权限账号被滥用。同时开启操作日志审计,关注监控配置的增删改行为。
加强Probe节点行为监控。留意服务器上异常的进程创建、非预期的出站网络连接、以及文件系统的未授权修改。这些往往是命令注入成功利用后的典型痕迹。
写在最后
CVE-2026-27728这个案例再次说明,Node.js后端开发里exec()和execFile()的选择绝不是小事。前者在快速验证、本地脚本场景下确实方便,但一旦对接外部不可信输入,就是一颗定时炸弹。很多开发者在写监控类工具时,容易把"用户只配填个IP或域名"当成安全假设,却忽略了攻击者能把任何输入框都变成命令注入的入口。
对于正在使用OneUptime的企业,这次漏洞是个及时的提醒:监控平台本身也需要被监控。把Probe服务器加固好、权限收收紧、补丁打及时,才能真正让这套工具服务于业务安全,而不是变成内网的突破口。
)
