प्लेटफ़ॉर्म
python
घटक
wandb
में ठीक किया गया
1.0.1
CVE-2026-4995 wandb OpenUI के 1.0 संस्करण तक में पाई गई एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है. यह भेद्यता Window Message Event Handler को प्रभावित करती है, जिससे हमलावर दूर से स्क्रिप्ट इंजेक्ट कर सकते हैं. wandb OpenUI का 1.0 संस्करण इससे प्रभावित है. इस भेद्यता के लिए कोई आधिकारिक पैच अभी तक उपलब्ध नहीं है.
CVE-2026-4995 wandb OpenUI के संस्करण 1.0 और उससे पहले के संस्करणों को प्रभावित करता है, frontend/public/annotator/index.html में 'Window Message Event Handler' घटक में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को उजागर करता है। यह भेद्यता हमलावरों को एप्लिकेशन में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जो अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होती है। चूंकि भेद्यता को दूरस्थ रूप से शोषण किया जा सकता है, इसलिए जोखिम अधिक है, जिससे हमलावर संवेदनशील जानकारी चुरा सकते हैं, एप्लिकेशन के व्यवहार को संशोधित कर सकते हैं या उपयोगकर्ता खातों को भी संभाल सकते हैं। विक्रेता की प्रतिक्रिया की कमी से स्थिति और खराब हो गई है, जिससे उपयोगकर्ताओं को तत्काल आधिकारिक फिक्स नहीं मिल रहा है। एक्सप्लॉइट का सार्वजनिक खुलासा हमलों के जोखिम को बढ़ाता है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं के लिए इसे लागू करना आसान बनाता है।
यह भेद्यता frontend/public/annotator/index.html में स्थित है, विशेष रूप से विंडो संदेश घटनाओं के प्रसंस्करण में। एक हमलावर दुर्भावनापूर्ण जावास्क्रिप्ट कोड युक्त एक विशेष रूप से तैयार किए गए विंडो संदेश को भेजकर इस भेद्यता का शोषण कर सकता है। यह कोड उस उपयोगकर्ता के संदर्भ में निष्पादित होगा जो संदेश प्राप्त करता है, जिससे हमलावर उस उपयोगकर्ता की ओर से कार्रवाई कर सकता है। भेद्यता की दूरस्थ शोषण प्रकृति का मतलब है कि हमलावर को इस भेद्यता का फायदा उठाने के लिए सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। एक्सप्लॉइट का सार्वजनिक खुलासा इसके उपयोग को आसान बनाता है, और विक्रेता की प्रतिक्रिया की कमी से हमलों की संभावना बढ़ जाती है।
Organizations utilizing wandb OpenUI version 1.0, particularly those with sensitive data displayed within the interface, are at risk. Teams relying on wandb for data visualization and collaboration should prioritize patching or implementing mitigation strategies. Shared hosting environments where multiple users share the same wandb OpenUI instance are also at increased risk.
• python / wandb: Inspect the frontend/public/annotator/index.html file for suspicious JavaScript code or injection points.
import os
import re
file_path = 'frontend/public/annotator/index.html'
with open(file_path, 'r') as f:
content = f.read()
# Look for patterns indicative of XSS (e.g., <script> tags, eval(), etc.)
if re.search(r'<script.*?>.*?</script>', content, re.IGNORECASE):
print(f"Potential XSS vulnerability detected in {file_path}")disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि विक्रेता से कोई फिक्स नहीं है, इसलिए तत्काल शमन महत्वपूर्ण है। OpenUI के नवीनतम संस्करण में जल्द से जल्द अपग्रेड करने की पुरजोर सिफारिश की जाती है। इस बीच, अतिरिक्त सुरक्षा उपायों को लागू किया जा सकता है, जैसे कि अविश्वसनीय स्रोतों से स्क्रिप्ट के निष्पादन को प्रतिबंधित करने के लिए सख्त सामग्री सुरक्षा नीति (CSP) लागू करना। नेटवर्क ट्रैफ़िक की बारीकी से निगरानी करना और उपयोगकर्ताओं को XSS के जोखिमों और संभावित हमलों की पहचान करने के तरीके के बारे में शिक्षित करना भी महत्वपूर्ण है। सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और सैनिटाइजेशन दुर्भावनापूर्ण कोड इंजेक्शन को रोकने के लिए आवश्यक है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करने से अतिरिक्त सुरक्षा परत प्रदान की जा सकती है।
Actualizar la biblioteca wandb a una versión posterior a la 1.0. Esto solucionará la vulnerabilidad de Cross-Site Scripting (XSS) en el componente Window Message Event Handler.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेबसाइटों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इन स्क्रिप्टों का उपयोग जानकारी चुराने, वेबसाइट के व्यवहार को संशोधित करने या उपयोगकर्ता खातों को संभालने के लिए किया जा सकता है।
यदि आप OpenUI के संस्करण 1.0 या उससे पहले का उपयोग कर रहे हैं, तो आप भेद्य हैं। संदिग्ध गतिविधि के लिए नेटवर्क ट्रैफ़िक और सिस्टम लॉग की निगरानी करें।
तुरंत अपने पासवर्ड बदलें और अपने सिस्टम व्यवस्थापक को सूचित करें। मैलवेयर के लिए अपने सिस्टम को पूरी तरह से स्कैन करें।
आप इस भेद्यता को कम करने में मदद करने के लिए सामग्री सुरक्षा नीति (CSP) और वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं।
दुर्भाग्य से, विक्रेता ने इस भेद्यता के प्रकटीकरण पर प्रतिक्रिया नहीं दी है, इसलिए यह अनुमान लगाना असंभव है कि फिक्स कब जारी किया जाएगा।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।