Plataforma
python
Componente
wandb
Corrigido em
0.0.1
1.0.1
A vulnerabilidade CVE-2026-4993 refere-se a credenciais hard-coded encontradas no wandb OpenUI até a versão 1.0. A manipulação do argumento LITELLMMASTERKEY no arquivo config.py permite que um atacante explore a falha localmente. As versões afetadas são as compreendidas entre 0.0.0 e 1.0. Não há patch oficial disponível para corrigir esta vulnerabilidade.
Uma vulnerabilidade crítica foi identificada no OpenUI da wandb, afetando versões até 0.0.0.0/1.0. Esta falha reside no arquivo backend/openui/config.py e está relacionada à manipulação do argumento LITELLMMASTERKEY. A vulnerabilidade permite a exposição de credenciais codificadas de forma rígida, o que pode permitir que um atacante acesse informações confidenciais ou execute ações não autorizadas dentro do sistema. O fato de o exploit ter sido divulgado publicamente aumenta significativamente o risco, pois facilita seu uso por agentes maliciosos. A falta de resposta do fornecedor agrava a situação, deixando os usuários sem uma solução oficial imediata.
A exploração desta vulnerabilidade requer acesso local ao sistema onde o OpenUI é executado. O atacante pode manipular o argumento LITELLMMASTERKEY para revelar as credenciais codificadas. A divulgação pública do exploit facilita sua replicação e aumenta o risco de ataques. A falta de resposta do fornecedor implica que não há uma solução imediata disponível, o que obriga os usuários a tomar medidas preventivas para proteger seus sistemas.
Organizations utilizing wandb OpenUI in environments where local access is not strictly controlled are at risk. This includes development environments, testing environments, and production deployments where local accounts have elevated privileges. Shared hosting environments or systems with weak access controls are particularly vulnerable.
• python / wandb: Inspect the backend/openui/config.py file for the presence of hardcoded credentials.
import os
config_file = 'backend/openui/config.py'
with open(config_file, 'r') as f:
content = f.read()
if 'LITELLM_MASTER_KEY' in content:
print(f'Potential vulnerability detected in {config_file}')• python / wandb: Monitor wandb OpenUI logs for unusual access attempts or modifications to configuration files. • generic web: Check for local file access attempts to backend/openui/config.py via directory listing or other vulnerabilities.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
Dado que não foi fornecida uma solução oficial pelo fornecedor, a mitigação imediata se concentra em evitar o uso da versão vulnerável do OpenUI. Se for imprescindível usar o OpenUI, recomenda-se fortemente revisar e restringir o acesso ao arquivo backend/openui/config.py, garantindo que apenas usuários autorizados possam modificá-lo. Além disso, recomenda-se implementar um monitoramento exaustivo do sistema para detectar qualquer atividade suspeita. É crucial estar atento a quaisquer anúncios ou patches de segurança que o fornecedor possa lançar no futuro. Considere a possibilidade de migrar para uma alternativa mais segura se a vulnerabilidade persistir.
Actualice la biblioteca wandb a una versión posterior a 1.0 para corregir la vulnerabilidad de credenciales codificadas. Esto evitará que atacantes locales exploten la configuración vulnerable.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que as senhas ou chaves de acesso estão escritas diretamente no código do programa, em vez de serem armazenadas de forma segura. Isso as torna fáceis de encontrar se um atacante acessar o código.
Se você estiver usando uma versão do OpenUI anterior a 0.0.0.0/1.0, é provável que esteja afetado. Revise o arquivo backend/openui/config.py para verificar se ele contém o argumento LITELLMMASTERKEY.
Altere imediatamente todas as senhas relevantes e revise os registros do sistema em busca de atividade suspeita. Considere consultar um especialista em segurança da informação.
Restringir o acesso ao arquivo backend/openui/config.py e monitorar o sistema são medidas temporárias que podem ajudar a mitigar o risco.
Infelizmente, não há uma data estimada para uma solução oficial, dado que o fornecedor não respondeu à divulgação da vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.