プラットフォーム
python
コンポーネント
wandb
修正版
1.0.1
CVE-2026-4995 は、wandb OpenUI における XSS (クロスサイトスクリプティング) の脆弱性です。frontend/public/annotator/index.html ファイルの Window Message Event Handler の未知の機能において、特定の操作により XSS が発生する可能性があります。この脆弱性により、攻撃者は悪意のあるスクリプトを注入し、ユーザーのセッションを乗っ取ったり、情報を盗み出す可能性があります。影響を受けるバージョンは 1.0–1.0 です。現時点では、公式な修正パッチは提供されていません。
CVE-2026-4995 は、wandb OpenUI のバージョン 1.0 までのインスタンスに影響を与え、frontend/public/annotator/index.html 内の 'Window Message Event Handler' コンポーネントにおけるクロスサイトスクリプティング (XSS) の脆弱性を明らかにするものです。この脆弱性を悪用すると、攻撃者はアプリケーションに悪意のあるスクリプトを注入でき、他のユーザーのブラウザで実行されます。攻撃はリモートで実行できるため、機密情報を盗んだり、アプリケーションの動作を変更したり、ユーザーアカウントを乗っ取ったりするリスクがあります。ベンダーからの対応がないことは状況を悪化させ、ユーザーは即時の公式な修正を得られなくなります。エクスプロイトの公開により、悪意のある攻撃者がそれを実装しやすくなり、攻撃のリスクが高まります。
この脆弱性は、frontend/public/annotator/index.html にあり、特にウィンドウメッセージイベントの処理に関連しています。攻撃者は、悪意のある JavaScript コードを含む特別に作成されたウィンドウメッセージを送信することで、この脆弱性を悪用できます。このコードは、メッセージを受信するユーザーのコンテキストで実行され、攻撃者がそのユーザーを装ってアクションを実行できるようになります。攻撃がリモートで実行できるため、攻撃者はこの脆弱性を悪用するために物理的なシステムアクセスを必要としません。エクスプロイトの公開により、その使用が容易になり、ベンダーからの対応がないことで攻撃が発生する可能性が高まります。
Organizations utilizing wandb OpenUI version 1.0, particularly those with sensitive data displayed within the interface, are at risk. Teams relying on wandb for data visualization and collaboration should prioritize patching or implementing mitigation strategies. Shared hosting environments where multiple users share the same wandb OpenUI instance are also at increased risk.
• python / wandb: Inspect the frontend/public/annotator/index.html file for suspicious JavaScript code or injection points.
import os
import re
file_path = 'frontend/public/annotator/index.html'
with open(file_path, 'r') as f:
content = f.read()
# Look for patterns indicative of XSS (e.g., <script> tags, eval(), etc.)
if re.search(r'<script.*?>.*?</script>', content, re.IGNORECASE):
print(f"Potential XSS vulnerability detected in {file_path}")disclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
CVSS ベクトル
ベンダーからの修正がないため、迅速な軽減策が不可欠です。OpenUI の最新バージョンにできるだけ早くアップグレードすることを強くお勧めします。その間、信頼できないソースからのスクリプトの実行を制限するために、厳格なコンテンツセキュリティポリシー (CSP) を適用するなど、追加のセキュリティ対策を実装できます。ネットワークトラフィックを注意深く監視し、XSS のリスクと潜在的な攻撃を特定する方法についてユーザーを教育することも重要です。すべてのユーザー入力の厳格な検証とサニタイズは、悪意のあるコードの注入を防ぐために不可欠です。Web アプリケーションファイアウォール (WAF) の使用を検討すると、追加の保護レイヤーを提供できます。
パッチが適用されたバージョン以降にアップデートしてください。修正されたバージョンは指定されていないため、修正されたバージョンについてはベンダーにお問い合わせください。
脆弱性分析と重要アラートをメールでお届けします。
XSS (クロスサイトスクリプティング) は、攻撃者が他のユーザーが閲覧する Web サイトに悪意のあるスクリプトを注入できるセキュリティ脆弱性です。これらのスクリプトは、情報を盗んだり、Web サイトの動作を変更したり、ユーザーアカウントを乗っ取ったりする可能性があります。
OpenUI バージョン 1.0 またはそれ以前を使用している場合は、脆弱です。疑わしいアクティビティがないか、ネットワークトラフィックとシステムログを監視してください。
パスワードをすぐに変更し、システム管理者に通知してください。マルウェアがないか、システム全体をスキャンしてください。
コンテンツセキュリティポリシー (CSP) と Web アプリケーションファイアウォール (WAF) を使用して、この脆弱性を軽減するのに役立ちます。
残念ながら、ベンダーは、この脆弱性の公開に回答していません。したがって、修正がいつリリースされるかを予測することはできません。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。