प्लेटफ़ॉर्म
python
घटक
wandb
में ठीक किया गया
1.0.1
3.5.1
CVE-2026-4994, wandb OpenUI के 1.0/3.5-turb संस्करणों में पाई गई एक भेद्यता है। यह भेद्यता APIStatusError Handler के backend/openui/server.py फ़ाइल में genericexceptionhandler फ़ंक्शन को प्रभावित करती है। इस भेद्यता का फायदा उठाकर हमलावर त्रुटि संदेशों के माध्यम से संवेदनशील जानकारी प्राप्त कर सकता है। इस हमले के लिए स्थानीय नेटवर्क तक पहुंच की आवश्यकता होती है। कोई आधिकारिक पैच अभी तक उपलब्ध नहीं है।
wandb OpenUI के संस्करण 1.0/3.5-turb और उससे पहले में एक सूचना प्रकटीकरण भेद्यता की पहचान की गई है। यह दोष APIStatusError Handler घटक के backend/openui/server.py फ़ाइल में genericexceptionhandler फ़ंक्शन में स्थित है, जो त्रुटि संदेशों के माध्यम से संवेदनशील जानकारी के प्रकटीकरण की अनुमति देता है। एक हमलावर इस प्रकटीकरण को ट्रिगर करने के लिए key तर्क को हेरफेर कर सकता है। इस भेद्यता के लिए शोषण के लिए स्थानीय नेटवर्क एक्सेस की आवश्यकता होती है, और चिंताजनक रूप से, शोषण सार्वजनिक रूप से जारी किया गया है, जिससे हमलों का जोखिम बढ़ गया है। इस भेद्यता के बारे में आपूर्तिकर्ता को जल्दी अधिसूचित करने के बावजूद, आपूर्तिकर्ता की ओर से कोई प्रतिक्रिया नहीं हुई है, जिससे स्थिति और खराब हो गई है और उपयोगकर्ताओं के पास तत्काल आधिकारिक समाधान नहीं है।
भेद्यता त्रुटि हैंडलर genericexceptionhandler द्वारा तर्कों को संसाधित करने के तरीके में निहित है, विशेष रूप से key तर्क का हेरफेर। स्थानीय नेटवर्क एक्सेस के साथ एक हमलावर दुर्भावनापूर्ण अनुरोध भेज सकता है जो फ़ंक्शन को ट्रिगर करने और उत्पन्न त्रुटि संदेशों के माध्यम से संवेदनशील जानकारी के प्रकटीकरण को मजबूर करने के लिए डिज़ाइन किया गया है। शोषण की सार्वजनिक उपलब्धता का मतलब है कि हमलावर आसानी से हमले को दोहरा सकते हैं, जिससे जोखिम काफी बढ़ जाता है। आपूर्तिकर्ता की प्रतिक्रिया की कमी भेद्यता के पूर्ण दायरे और उपलब्ध प्रतिउपायों का सटीक मूल्यांकन करने में बाधा डालती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि आपूर्तिकर्ता ने कोई समाधान प्रदान नहीं किया है, इसलिए तत्काल शमन जोखिम को कम करने पर केंद्रित है। हम अनुशंसा करते हैं कि 1.0/3.5-turb से बाद के OpenUI संस्करण में अपग्रेड किया जाए, जब यह उपलब्ध हो। इस बीच, OpenUI उदाहरण तक स्थानीय नेटवर्क एक्सेस को प्रतिबंधित करें, जिससे शोषण की संभावना कम हो जाएगी। संभावित शोषण प्रयासों का पता लगाने में मदद करने के लिए सर्वर लॉग की सावधानीपूर्वक निगरानी करें। OpenUI सर्वर की ओर लक्षित संदिग्ध ट्रैफ़िक को ब्लॉक करने के लिए फ़ायरवॉल नियमों को लागू करने पर विचार करें। एक आधिकारिक समाधान उपलब्ध होने तक सुरक्षा मुद्रा का निरंतर मूल्यांकन महत्वपूर्ण है।
Actualice la biblioteca wandb a una versión posterior a 3.5-turb. Esto solucionará la vulnerabilidad de exposición de información. Consulte la documentación de wandb para obtener instrucciones sobre cómo actualizar la biblioteca.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि भेद्यता का शोषण करने की तकनीक ज्ञात है और किसी के भी लिए उपलब्ध है, जिससे हमलावरों के लिए इसका उपयोग करना आसान हो जाता है।
आपूर्तिकर्ता की प्रतिक्रिया की कमी चिंताजनक है और जोखिम मूल्यांकन और समाधान की उपलब्धता में बाधा डालती है। यह विभिन्न कारकों के कारण हो सकता है, लेकिन इन मामलों में संचार आवश्यक है।
शमन उपाय लागू करें जैसे नेटवर्क एक्सेस को प्रतिबंधित करना, लॉग की निगरानी करना और फ़ायरवॉल नियमों पर विचार करना।
सर्वर लॉग में असामान्य त्रुटि पैटर्न की तलाश करें और संदिग्ध ट्रैफ़िक के लिए नेटवर्क गतिविधि की निगरानी करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण उपलब्ध नहीं है, इसलिए मैनुअल निगरानी और शमन उपाय महत्वपूर्ण हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।