प्लेटफ़ॉर्म
python
घटक
wandb
में ठीक किया गया
0.0.1
1.0.1
CVE-2026-4993, wandb OpenUI के 0.0.0 से 1.0 संस्करणों में पाई गई एक भेद्यता है। यह भेद्यता backend/openui/config.py फ़ाइल के एक अज्ञात फ़ंक्शन को प्रभावित करती है, जहाँ LITELLMMASTERKEY तर्क के दुरुपयोग से हार्ड-कोडेड क्रेडेंशियल्स का खतरा उत्पन्न होता है। इस भेद्यता का फायदा स्थानीय रूप से उठाया जा सकता है। wandb ने अभी तक इस भेद्यता के लिए कोई आधिकारिक पैच जारी नहीं किया है।
wandb OpenUI के संस्करण 0.0.0.0/1.0 तक में एक गंभीर भेद्यता की पहचान की गई है। यह दोष backend/openui/config.py फ़ाइल में स्थित है और LITELLMMASTERKEY तर्क के हेरफेर से संबंधित है। यह भेद्यता हार्डकोडेड क्रेडेंशियल्स को उजागर करने की अनुमति देती है, जिससे एक हमलावर सिस्टम के भीतर संवेदनशील जानकारी तक पहुँच प्राप्त कर सकता है या अनधिकृत क्रियाएं कर सकता है। एक्सप्लॉइट का सार्वजनिक प्रकटीकरण जोखिम को काफी बढ़ाता है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं द्वारा इसके उपयोग को सुविधाजनक बनाता है। विक्रेता की प्रतिक्रिया की कमी से स्थिति और खराब हो जाती है, जिससे उपयोगकर्ताओं को तत्काल आधिकारिक समाधान नहीं मिलता है।
इस भेद्यता का शोषण करने के लिए OpenUI चल रहे सिस्टम तक स्थानीय पहुंच की आवश्यकता होती है। एक हमलावर LITELLMMASTERKEY तर्क को हेरफेर करके हार्डकोडेड क्रेडेंशियल्स को उजागर कर सकता है। एक्सप्लॉइट का सार्वजनिक प्रकटीकरण इसके प्रतिकृति को सुविधाजनक बनाता है और हमलों के जोखिम को बढ़ाता है। विक्रेता की प्रतिक्रिया की कमी का मतलब है कि कोई तत्काल समाधान उपलब्ध नहीं है, जिससे उपयोगकर्ताओं को अपने सिस्टम की सुरक्षा के लिए निवारक उपाय करने के लिए मजबूर होना पड़ता है।
Organizations utilizing wandb OpenUI in environments where local access is not strictly controlled are at risk. This includes development environments, testing environments, and production deployments where local accounts have elevated privileges. Shared hosting environments or systems with weak access controls are particularly vulnerable.
• python / wandb: Inspect the backend/openui/config.py file for the presence of hardcoded credentials.
import os
config_file = 'backend/openui/config.py'
with open(config_file, 'r') as f:
content = f.read()
if 'LITELLM_MASTER_KEY' in content:
print(f'Potential vulnerability detected in {config_file}')• python / wandb: Monitor wandb OpenUI logs for unusual access attempts or modifications to configuration files. • generic web: Check for local file access attempts to backend/openui/config.py via directory listing or other vulnerabilities.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
विक्रेता से आधिकारिक फिक्स की कमी को देखते हुए, तत्काल शमन का ध्यान OpenUI के असुरक्षित संस्करण के उपयोग से बचने पर है। यदि OpenUI का उपयोग करना आवश्यक है, तो backend/openui/config.py फ़ाइल तक पहुंच की सावधानीपूर्वक समीक्षा और प्रतिबंध करें, यह सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ता ही इसे संशोधित कर सकते हैं। सिस्टम में किसी भी संदिग्ध गतिविधि का पता लगाने के लिए व्यापक सिस्टम निगरानी को लागू करने की भी सिफारिश की जाती है। भविष्य में विक्रेता द्वारा जारी किए जा सकने वाले किसी भी सुरक्षा घोषणाओं या पैच पर नज़र रखें। यदि भेद्यता बनी रहती है तो अधिक सुरक्षित विकल्प पर माइग्रेट करने पर विचार करें।
Actualice la biblioteca wandb a una versión posterior a 1.0 para corregir la vulnerabilidad de credenciales codificadas. Esto evitará que atacantes locales exploten la configuración vulnerable.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि पासवर्ड या एक्सेस की हार्डकोडेड हैं और प्रोग्राम के कोड में सीधे लिखी गई हैं, बजाय सुरक्षित रूप से संग्रहीत किए जाने के। यह उन्हें आसान बनाता है यदि एक हमलावर कोड तक पहुंच प्राप्त करता है।
यदि आप OpenUI के 0.0.0.0/1.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित होने की संभावना है। यह देखने के लिए backend/openui/config.py फ़ाइल की जांच करें कि इसमें LITELLMMASTERKEY तर्क शामिल है या नहीं।
तुरंत सभी प्रासंगिक पासवर्ड बदलें और सिस्टम लॉग में किसी भी संदिग्ध गतिविधि की जांच करें। साइबर सुरक्षा विशेषज्ञ से परामर्श करने पर विचार करें।
backend/openui/config.py फ़ाइल तक पहुंच को प्रतिबंधित करना और सिस्टम की निगरानी करना अस्थायी उपाय हैं जो जोखिम को कम करने में मदद कर सकते हैं।
दुर्भाग्य से, विक्रेता द्वारा भेद्यता प्रकटीकरण पर प्रतिक्रिया नहीं देने के कारण आधिकारिक फिक्स के लिए कोई अनुमानित समय-सीमा नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।