Plateforme
python
Composant
wandb
Corrigé dans
1.0.1
La CVE-2026-4995 identifie une vulnérabilité de type Cross-Site Scripting (XSS) présente dans wandb OpenUI jusqu'à la version 1.0. Cette faille permet l'exécution de scripts malveillants côté client, potentiellement compromettant la sécurité des utilisateurs. La version affectée est wandb OpenUI 1.0. Actuellement, il n'existe aucun correctif officiel publié par le fournisseur.
La vulnérabilité CVE-2026-4995 affecte OpenUI de wandb jusqu'à la version 1.0, exposant une vulnérabilité de Cross-Site Scripting (XSS) au sein du composant 'Window Message Event Handler' situé dans frontend/public/annotator/index.html. Cette vulnérabilité permet aux attaquants d'injecter des scripts malveillants dans l'application, qui s'exécuteront dans les navigateurs des autres utilisateurs. Le risque est important car l'exploitation peut se produire à distance, permettant aux attaquants de voler des informations sensibles, de modifier le comportement de l'application ou même de prendre le contrôle des comptes d'utilisateurs. Le manque de réponse du fournisseur aggrave la situation, laissant les utilisateurs sans correctif officiel immédiat. La divulgation publique de l'exploit augmente le risque d'attaques, car elle facilite sa mise en œuvre par des acteurs malveillants.
La vulnérabilité réside dans frontend/public/annotator/index.html, plus précisément dans le traitement des événements de messages de fenêtre. Un attaquant peut exploiter cette vulnérabilité en envoyant un message de fenêtre spécialement conçu contenant du code JavaScript malveillant. Ce code s'exécutera dans le contexte de l'utilisateur qui reçoit le message, permettant à l'attaquant d'effectuer des actions au nom de cet utilisateur. La nature à distance de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour profiter de cette vulnérabilité. La divulgation publique de l'exploit facilite son utilisation, et le manque de réponse du fournisseur augmente la probabilité d'attaques.
Organizations utilizing wandb OpenUI version 1.0, particularly those with sensitive data displayed within the interface, are at risk. Teams relying on wandb for data visualization and collaboration should prioritize patching or implementing mitigation strategies. Shared hosting environments where multiple users share the same wandb OpenUI instance are also at increased risk.
• python / wandb: Inspect the frontend/public/annotator/index.html file for suspicious JavaScript code or injection points.
import os
import re
file_path = 'frontend/public/annotator/index.html'
with open(file_path, 'r') as f:
content = f.read()
# Look for patterns indicative of XSS (e.g., <script> tags, eval(), etc.)
if re.search(r'<script.*?>.*?</script>', content, re.IGNORECASE):
print(f"Potential XSS vulnerability detected in {file_path}")disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
Compte tenu du manque de correctif de la part du fournisseur, l'atténuation immédiate est cruciale. Il est fortement recommandé de mettre à niveau vers une version ultérieure d'OpenUI dès qu'elle est disponible. En attendant, des mesures de sécurité supplémentaires peuvent être mises en œuvre, telles que l'application de politiques de sécurité de contenu (CSP) strictes pour restreindre l'exécution de scripts provenant de sources non fiables. Il est également important de surveiller de près le trafic réseau à la recherche d'activités suspectes et d'éduquer les utilisateurs sur les risques liés à XSS et sur la manière d'identifier les attaques potentielles. La validation et la désinfection rigoureuses de toutes les entrées utilisateur sont essentielles pour empêcher l'injection de code malveillant. Envisager l'utilisation d'un pare-feu applicatif web (WAF) peut fournir une couche de protection supplémentaire.
Actualizar la biblioteca wandb a una versión posterior a la 1.0. Esto solucionará la vulnerabilidad de Cross-Site Scripting (XSS) en el componente Window Message Event Handler.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est une vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites Web consultés par d'autres utilisateurs. Ces scripts peuvent voler des informations, modifier le comportement du site Web ou même prendre le contrôle des comptes d'utilisateurs.
Si vous utilisez OpenUI version 1.0 ou antérieure, vous êtes vulnérable. Surveillez le trafic réseau et les journaux système à la recherche d'activités suspectes.
Modifiez vos mots de passe immédiatement et informez votre administrateur système. Effectuez une analyse complète du système à la recherche de logiciels malveillants.
Vous pouvez utiliser des politiques de sécurité de contenu (CSP) et un pare-feu applicatif web (WAF) pour vous aider à atténuer cette vulnérabilité.
Malheureusement, le fournisseur n'a pas répondu à la divulgation de cette vulnérabilité, il est donc impossible de prédire quand une solution sera publiée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.