LOWCVE-2026-4993CVSS 3.3

wandb OpenUI config.py ハードコードされたクレデンシャル

Q: wandb の CVE-2026-4993 による影響を受けていますか？

OpenUIのバージョンが0.0.0.0/1.0より前の場合は、影響を受けている可能性があります。`backend/openui/config.py`ファイルを調べて、`LITELLM_MASTER_KEY`引数が含まれているかどうかを確認してください。

Q: CVE-2026-4993 は積極的に悪用されていますか？

`backend/openui/config.py`ファイルへのアクセスを制限し、システムを監視することは、リスクを軽減するのに役立つ一時的な対策です。

プラットフォーム

python

コンポーネント

wandb

修正版

0.0.1

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4993 は、wandb OpenUI における脆弱性です。backend/openui/config.py ファイルの未知の関数において、LITELLMMASTERKEY 引数の操作により、ハードコードされたクレデンシャルが露呈する可能性があります。この脆弱性により、攻撃者は認証情報を取得し、不正アクセスを行う可能性があります。影響を受けるバージョンは 0.0.0–1.0 です。現時点では、公式な修正パッチは提供されていません。

影響と攻撃シナリオ

wandb OpenUIのバージョン0.0.0.0/1.0までで、重大な脆弱性が特定されました。この欠陥はbackend/openui/config.pyファイル内に存在し、LITELLMMASTERKEY引数の操作に関連しています。この脆弱性により、ハードコードされた認証情報が公開され、攻撃者が機密情報にアクセスしたり、システム内で不正な操作を実行したりする可能性があります。エクスプロイトが一般に公開されたことは、悪意のある攻撃者による使用が容易になるため、リスクを大幅に高めます。ベンダーからの対応がないことは状況を悪化させ、ユーザーに即時の公式ソリューションを提供しません。

悪用の状況

この脆弱性の悪用には、OpenUIが実行されているシステムへのローカルアクセスが必要です。攻撃者は、LITELLMMASTERKEY引数を操作して、ハードコードされた認証情報を公開できます。エクスプロイトが一般に公開されたことは、その複製を容易にし、攻撃のリスクを高めます。ベンダーからの対応がないことは、即時の解決策がないことを意味し、ユーザーはシステムを保護するために予防措置を講じる必要があります。

リスク対象者翻訳中…

Organizations utilizing wandb OpenUI in environments where local access is not strictly controlled are at risk. This includes development environments, testing environments, and production deployments where local accounts have elevated privileges. Shared hosting environments or systems with weak access controls are particularly vulnerable.

検出手順翻訳中…

• python / wandb: Inspect the backend/openui/config.py file for the presence of hardcoded credentials.

import os
config_file = 'backend/openui/config.py'
with open(config_file, 'r') as f:
    content = f.read()
    if 'LITELLM_MASTER_KEY' in content:
        print(f'Potential vulnerability detected in {config_file}')

• python / wandb: Monitor wandb OpenUI logs for unusual access attempts or modifications to configuration files. • generic web: Check for local file access attempts to backend/openui/config.py via directory listing or other vulnerabilities.

攻撃タイムライン

2026-03-28Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントwandb

ベンダーwandb

影響範囲修正版

0.0.0 – 0.0.00.0.1

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-798 CWE-259

タイムライン

予約済み2026-03-27
公開日2026-03-28
更新日2026-03-30
EPSS 更新日2026-04-04

未パッチ — 公開から57日経過

緩和策と回避策

ベンダーからの公式な修正がないため、直近の軽減策は、脆弱なバージョンのOpenUIの使用を避けることに集中しています。OpenUIの使用が不可欠な場合は、backend/openui/config.pyファイルへのアクセスを注意深く確認し、制限し、承認されたユーザーのみが変更できるようにする必要があります。また、システム全体の監視を徹底的に実装して、不審な活動を検出することも推奨されます。ベンダーが今後リリースする可能性のあるセキュリティアナウンスメントやパッチに注意してください。脆弱性が解決されない場合は、より安全な代替手段への移行を検討してください。

修正方法

wandb OpenUI ライブラリを修正されたバージョンにアップデートしてください (存在する場合)。それ以外の場合は、影響を受ける機能の使用を避け、ベンダーが推奨する緩和策があれば適用してください。脆弱性にはハードコードされたクレデンシャルが含まれているため、使用されている LITELLM_MASTER_KEY キーを確認し、ローテーションすることをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4993 とは何ですか？（wandb）

これは、パスワードまたはアクセスキーがプログラムのコードに直接記述されていることを意味します。これにより、攻撃者がコードにアクセスした場合、それらが簡単に見つけられるようになります。

wandb の CVE-2026-4993 による影響を受けていますか？

OpenUIのバージョンが0.0.0.0/1.0より前の場合は、影響を受けている可能性があります。backend/openui/config.pyファイルを調べて、LITELLMMASTERKEY引数が含まれているかどうかを確認してください。

wandb の CVE-2026-4993 を修正するにはどうすればよいですか？

関連するすべてのパスワードを直ちに変更し、システムログに不審な活動がないか確認してください。ITセキュリティの専門家にご相談ください。

CVE-2026-4993 は積極的に悪用されていますか？

backend/openui/config.pyファイルへのアクセスを制限し、システムを監視することは、リスクを軽減するのに役立つ一時的な対策です。

CVE-2026-4993 に関する wandb の公式アドバイザリはどこで確認できますか？

残念ながら、脆弱性の開示に対するベンダーの対応がないため、公式な修正の予定時期はありません。