Plateforme
python
Composant
wandb
Corrigé dans
0.0.1
1.0.1
Une vulnérabilité a été découverte dans wandb OpenUI, affectant les versions de 0.0.0 à 1.0. Cette faille concerne une fonction inconnue du backend/openui/config.py. La manipulation de l'argument LITELLMMASTERKEY permet d'accéder à des informations d'identification codées en dur. L'exploitation nécessite un accès local et a été divulguée publiquement.
Cette vulnérabilité permet à un attaquant ayant un accès local de compromettre le système wandb OpenUI en manipulant l'argument LITELLMMASTERKEY. L'attaquant peut ainsi accéder à des informations d'identification codées en dur, potentiellement permettant un accès non autorisé à des données sensibles ou à d'autres ressources associées à l'environnement wandb. Bien que l'exploitation nécessite un accès local, cela peut être une préoccupation dans des environnements où des utilisateurs non autorisés ont accès au système. L'absence de réponse du fournisseur aggrave le risque, car il n'y a pas de correctif officiel disponible à ce jour.
Cette vulnérabilité a été divulguée publiquement le 28 mars 2026. Un proof-of-concept (PoC) est potentiellement disponible, ce qui augmente le risque d'exploitation. L'absence de réponse du fournisseur rend la situation plus préoccupante. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA, mais sa divulguation publique et la disponibilité potentielle d'un PoC justifient une attention particulière.
Organizations utilizing wandb OpenUI in environments where local access is not strictly controlled are at risk. This includes development environments, testing environments, and production deployments where local accounts have elevated privileges. Shared hosting environments or systems with weak access controls are particularly vulnerable.
• python / wandb: Inspect the backend/openui/config.py file for the presence of hardcoded credentials.
import os
config_file = 'backend/openui/config.py'
with open(config_file, 'r') as f:
content = f.read()
if 'LITELLM_MASTER_KEY' in content:
print(f'Potential vulnerability detected in {config_file}')• python / wandb: Monitor wandb OpenUI logs for unusual access attempts or modifications to configuration files. • generic web: Check for local file access attempts to backend/openui/config.py via directory listing or other vulnerabilities.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
En l'absence de correctif officiel de wandb, la mitigation principale consiste à limiter l'accès local au système wandb OpenUI. Il est crucial de renforcer les contrôles d'accès et de s'assurer que seuls les utilisateurs autorisés peuvent interagir avec le système. Envisagez de désactiver temporairement la fonctionnalité OpenUI si elle n'est pas essentielle. Surveillez attentivement les journaux système pour détecter toute activité suspecte liée à la manipulation de l'argument LITELLMMASTERKEY. Une fois qu'un correctif est disponible, appliquez-le immédiatement.
Mettez à jour la bibliothèque wandb vers une version postérieure à 1.0 pour corriger la vulnérabilité des identifiants codés en dur. Cela empêchera les attaquants locaux d'exploiter la configuration vulnérable.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4993 is a vulnerability in wandb OpenUI versions 0.0.0–1.0 where manipulating the LITELLMMASTERKEY argument exposes hardcoded credentials, requiring local access.
You are affected if you are using wandb OpenUI versions between 0.0.0 and 1.0 and have not upgraded to a patched version. Local access is required for exploitation.
Upgrade to a patched version of wandb OpenUI. Review the project's release notes for updates addressing this vulnerability. Restrict local access to the configuration file as a temporary workaround.
A public exploit exists, indicating a high probability of active exploitation. The vulnerability's severity is LOW.
Due to the vendor's lack of response, an official advisory may not be available. Monitor the wandb project's release notes and security announcements for updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.