Plateforme
python
Composant
wandb
Corrigé dans
1.0.1
3.5.1
CVE-2026-4994 est une vulnérabilité de divulgation d'informations présente dans wandb OpenUI jusqu'à la version 1.0/3.5-turb. Plus précisément, la fonction genericexceptionhandler du fichier backend/openui/server.py est affectée. La manipulation de l'argument key permet une exposition d'informations via un message d'erreur. L'accès au réseau local est requis pour exploiter cette faille. Aucun correctif n'est actuellement disponible.
Une vulnérabilité d'exposition d'informations a été identifiée dans OpenUI de wandb, affectant les versions jusqu'à 1.0/3.5-turb. Cette faille, présente dans la fonction genericexceptionhandler du fichier backend/openui/server.py du composant APIStatusError Handler, permet l'exposition de données sensibles via des messages d'erreur. Un attaquant peut manipuler l'argument key pour déclencher cette divulgation. La vulnérabilité nécessite un accès au réseau local pour être exploitée et, de manière préoccupante, l'exploit a été rendu public, augmentant le risque d'attaques. Le manque de réponse du fournisseur à l'alerte précoce concernant cette vulnérabilité aggrave la situation, laissant les utilisateurs sans solution officielle immédiate.
La vulnérabilité réside dans la façon dont le gestionnaire d'erreurs genericexceptionhandler traite les arguments, en particulier la manipulation de l'argument key. Un attaquant, disposant d'un accès au réseau local, peut envoyer des requêtes malveillantes conçues pour déclencher la fonction et forcer la divulgation d'informations sensibles via les messages d'erreur générés. Le fait que l'exploit soit publiquement disponible signifie que les attaquants peuvent facilement répliquer l'attaque, augmentant ainsi considérablement le risque. Le manque de réponse du fournisseur entrave l'évaluation précise de l'étendue totale de la vulnérabilité et de la disponibilité de contre-mesures.
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
Compte tenu de l'absence de solution fournie par le fournisseur, l'atténuation immédiate se concentre sur la réduction des risques. Nous recommandons vivement de mettre à niveau vers une version d'OpenUI ultérieure à 1.0/3.5-turb dès qu'elle sera disponible. En attendant, restreignez l'accès au réseau local à l'instance OpenUI, limitant ainsi les possibilités d'exploitation. Surveillez minutieusement les journaux du serveur à la recherche de schémas d'erreur inhabituels qui pourraient aider à détecter les tentatives d'exploitation. Envisagez de mettre en œuvre des règles de pare-feu pour bloquer le trafic suspect dirigé vers le serveur OpenUI. L'évaluation continue de la posture de sécurité reste cruciale jusqu'à ce qu'une solution officielle soit disponible.
Actualice la biblioteca wandb a una versión posterior a 3.5-turb. Esto solucionará la vulnerabilidad de exposición de información. Consulte la documentación de wandb para obtener instrucciones sobre cómo actualizar la biblioteca.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie que la technique permettant d'exploiter la vulnérabilité est connue et disponible pour quiconque, ce qui facilite son utilisation par les attaquants.
Le manque de réponse du fournisseur est préoccupant et entrave l'évaluation des risques et la disponibilité des solutions. Cela peut être dû à divers facteurs, mais la communication est essentielle dans ces cas.
Mettez en œuvre des mesures d'atténuation telles que la restriction de l'accès au réseau, la surveillance des journaux et la prise en compte des règles de pare-feu.
Recherchez des schémas d'erreur inhabituels dans les journaux du serveur et surveillez l'activité du réseau à la recherche de trafic suspect.
Actuellement, il n'existe pas d'outils spécifiques disponibles pour détecter cette vulnérabilité, la surveillance manuelle et les mesures d'atténuation sont donc essentielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.