プラットフォーム
python
コンポーネント
wandb
修正版
1.0.1
3.5.1
CVE-2026-4994 は、wandb OpenUI における脆弱性です。backend/openui/server.py ファイルの genericexceptionhandler 関数において、key 引数の操作により、エラーメッセージを通じて情報が漏洩する可能性があります。この脆弱性により、攻撃者は機密情報を取得する可能性があります。影響を受けるバージョンは 1.0–3.5-turb です。現時点では、公式な修正パッチは提供されていません。
wandb OpenUIのバージョン1.0/3.5-turbまでで、情報漏洩の脆弱性が特定されました。この欠陥は、APIStatusError Handlerコンポーネントのbackend/openui/server.pyファイルのgenericexceptionhandler関数に存在し、エラーメッセージを介した情報漏洩を可能にします。攻撃者は、key引数を操作してこの開示をトリガーできます。この脆弱性は、攻撃を目的としたローカルネットワークアクセスを必要とし、懸念されることに、エクスプロイトがすでに公開されており、攻撃のリスクが高まっています。この脆弱性について早期にベンダーに通知したにもかかわらず、ベンダーからの対応がないことは、状況をさらに悪化させています。
この脆弱性は、エラーハンドラgenericexceptionhandlerが引数を処理する方法にあります。特に、key引数の操作です。ローカルネットワークアクセスを持つ攻撃者は、関数をトリガーし、生成されたエラーメッセージを介して機密情報を開示するように設計された悪意のあるリクエストを送信できます。エクスプロイトが公開されているということは、攻撃者が攻撃を簡単に複製できることを意味し、リスクが大幅に増加します。ベンダーからの対応がないため、脆弱性の完全な範囲と対策の可用性を正確に評価することが困難になっています。
エクスプロイト状況
EPSS
0.03% (7% パーセンタイル)
CISA SSVC
ベンダーからの修正がないため、即時の軽減策はリスクの低減に焦点を当てています。1.0/3.5-turbより新しいOpenUIバージョンが利用可能になったら、アップグレードすることを強くお勧めします。その間は、OpenUIインスタンスへのローカルネットワークアクセスを制限し、悪用する可能性を制限します。サーバーログを注意深く監視して、異常なエラーパターンを検出し、悪用試行を検出します。OpenUIサーバーへの疑わしいトラフィックをブロックするために、ファイアウォールルールを実装することを検討してください。公式ソリューションが利用可能になるまで、セキュリティ体制の継続的な評価が重要です。
wandb ライブラリを 3.5-turb 以降のバージョンにアップデートしてください。これにより、情報漏洩の脆弱性が修正されます。アップデートできない場合は、ローカルネットワークへのアクセスリスクを軽減するために、アプリケーションの設定を注意深く確認してください。
脆弱性分析と重要アラートをメールでお届けします。
これは、脆弱性を悪用するための技術が知られており、誰でも利用できることを意味し、攻撃者がそれを使用しやすくなります。
ベンダーからの対応がないことは懸念されるものであり、リスク評価とソリューションの可用性を妨げます。さまざまな要因が考えられますが、このような場合、コミュニケーションが不可欠です。
ネットワークアクセスを制限し、ログを監視し、ファイアウォールルールを検討するなど、軽減策を実装してください。
サーバーログに異常なエラーパターンがないか確認し、疑わしいトラフィックがないかネットワークアクティビティを監視してください。
現在、この脆弱性を検出するための特定のツールはありません。そのため、手動での監視と軽減策が重要です。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。