Platform
python
Component
wandb
Opgelost in
1.0.1
CVE-2026-4995 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in wandb OpenUI. Dit kan leiden tot het uitvoeren van kwaadaardige scripts in de browser van de gebruiker. De getroffen versie is 1.0. Er is geen officiële patch beschikbaar, dus mitigatie is vereist.
CVE-2026-4995 treft wandb OpenUI versies tot en met 1.0, waarbij een Cross-Site Scripting (XSS) kwetsbaarheid wordt blootgelegd in de component 'Window Message Event Handler' in frontend/public/annotator/index.html. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts in de applicatie te injecteren, die vervolgens in de browsers van andere gebruikers worden uitgevoerd. Het risico is aanzienlijk, aangezien exploitatie op afstand kan plaatsvinden, waardoor aanvallers gevoelige informatie kunnen stelen, het gedrag van de applicatie kunnen wijzigen of zelfs de controle over gebruikersaccounts kunnen overnemen. Het gebrek aan reactie van de leverancier verergert de situatie, waardoor gebruikers zonder een onmiddellijke officiële oplossing achterblijven. De publieke openbaarmaking van de exploit vergroot het risico op aanvallen, omdat het de implementatie ervan door kwaadwillende actoren vergemakkelijkt.
De kwetsbaarheid bevindt zich in frontend/public/annotator/index.html, met name in de verwerking van venster-meldingsgebeurtenissen. Een aanvaller kan deze kwetsbaarheid uitbuiten door een speciaal ontworpen venster-melding te verzenden die kwaadaardige JavaScript-code bevat. Deze code wordt uitgevoerd in de context van de gebruiker die de melding ontvangt, waardoor de aanvaller acties namens die gebruiker kan uitvoeren. De remote aard van de exploitatie betekent dat een aanvaller geen fysieke toegang tot het systeem nodig heeft om deze kwetsbaarheid te benutten. De publieke openbaarmaking van de exploit vergemakkelijkt het gebruik ervan, en het gebrek aan reactie van de leverancier vergroot de kans op aanvallen.
Organizations utilizing wandb OpenUI version 1.0, particularly those with sensitive data displayed within the interface, are at risk. Teams relying on wandb for data visualization and collaboration should prioritize patching or implementing mitigation strategies. Shared hosting environments where multiple users share the same wandb OpenUI instance are also at increased risk.
• python / wandb: Inspect the frontend/public/annotator/index.html file for suspicious JavaScript code or injection points.
import os
import re
file_path = 'frontend/public/annotator/index.html'
with open(file_path, 'r') as f:
content = f.read()
# Look for patterns indicative of XSS (e.g., <script> tags, eval(), etc.)
if re.search(r'<script.*?>.*?</script>', content, re.IGNORECASE):
print(f"Potential XSS vulnerability detected in {file_path}")disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
Gezien het gebrek aan een fix van de leverancier is onmiddellijke mitigatie cruciaal. Het wordt ten zeerste aanbevolen om te upgraden naar een latere versie van OpenUI zodra deze beschikbaar is. Ondertussen kunnen aanvullende beveiligingsmaatregelen worden geïmplementeerd, zoals het toepassen van strikte Content Security Policy (CSP) om de uitvoering van scripts van niet-vertrouwde bronnen te beperken. Het is ook belangrijk om netwerkverkeer op verdachte activiteiten te volgen en gebruikers voor te lichten over de risico's van XSS en hoe potentiële aanvallen te identificeren. Een strenge validatie en reiniging van alle gebruikersinvoer is essentieel om het injecteren van kwaadaardige code te voorkomen. Het gebruik van een Web Application Firewall (WAF) kan een extra beveiligingslaag bieden.
Actualizar a una versión parcheada o posterior. No hay una versión fija especificada, por lo que se recomienda contactar al proveedor para obtener una versión corregida.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een beveiligingslek dat aanvallers in staat stelt om kwaadaardige scripts in websites te injecteren die door andere gebruikers worden bezocht. Deze scripts kunnen informatie stelen, het gedrag van de website wijzigen of zelfs de controle over gebruikersaccounts overnemen.
Als u OpenUI versie 1.0 of eerder gebruikt, bent u kwetsbaar. Houd netwerkverkeer en systeemlogboeken in de gaten op verdachte activiteiten.
Wijzig uw wachtwoorden onmiddellijk en informeer uw systeembeheerder. Voer een volledige systeemscan uit op malware.
U kunt Content Security Policy (CSP) en een Web Application Firewall (WAF) gebruiken om u te helpen deze kwetsbaarheid te verhelpen.
Helaas heeft de leverancier niet gereageerd op de openbaarmaking van deze kwetsbaarheid, dus het is onmogelijk om te voorspellen wanneer een oplossing zal worden uitgebracht.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.