LOWCVE-2026-4993CVSS 3.3

CVE-2026-4993 wandb OpenUI 漏洞：硬编码凭据，影响版本

Q: wandb 中的 CVE-2026-4993 是否会影响我？

如果您使用的是 OpenUI 的 0.0.0.0/1.0 之前的版本，那么您很可能受到影响。请检查 `backend/openui/config.py` 文件，以查看是否包含 `LITELLM_MASTER_KEY` 参数。

Q: CVE-2026-4993 是否正在被积极利用？

限制对 `backend/openui/config.py` 文件的访问和监控系统是帮助减轻风险的临时措施。

平台

python

组件

wandb

修复版本

0.0.1

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-4993 描述了 wandb OpenUI 中的一个漏洞，该漏洞可能导致硬编码凭据。该漏洞存在于 backend/openui/config.py 的未知函数中，攻击者需要本地访问才能利用此漏洞。受影响的版本范围是 0.0.0 到 1.0。由于目前没有官方补丁，用户应采取其他缓解措施。

影响与攻击场景

在 wandb OpenUI 的版本高达 0.0.0.0/1.0 的系统中，发现了一个关键漏洞。此缺陷位于 backend/openui/config.py 文件中，与 LITELLMMASTERKEY 参数的操纵有关。该漏洞允许暴露硬编码的凭据，这可能使攻击者能够访问敏感信息或在系统中执行未经授权的操作。漏洞利用的公开披露大大增加了风险，因为它促进了恶意行为者使用。供应商未能做出响应加剧了这种情况，使用户没有立即的官方解决方案。

利用背景

利用此漏洞需要对运行 OpenUI 的系统具有本地访问权限。攻击者可以通过操纵 LITELLMMASTERKEY 参数来公开硬编码的凭据。漏洞利用的公开披露促进了其复制，并增加了攻击的风险。供应商未能做出响应意味着没有立即可用的解决方案，这迫使用户采取预防措施来保护他们的系统。

哪些人处于风险中翻译中…

Organizations utilizing wandb OpenUI in environments where local access is not strictly controlled are at risk. This includes development environments, testing environments, and production deployments where local accounts have elevated privileges. Shared hosting environments or systems with weak access controls are particularly vulnerable.

检测步骤翻译中…

• python / wandb: Inspect the backend/openui/config.py file for the presence of hardcoded credentials.

import os
config_file = 'backend/openui/config.py'
with open(config_file, 'r') as f:
    content = f.read()
    if 'LITELLM_MASTER_KEY' in content:
        print(f'Potential vulnerability detected in {config_file}')

• python / wandb: Monitor wandb OpenUI logs for unusual access attempts or modifications to configuration files. • generic web: Check for local file access attempts to backend/openui/config.py via directory listing or other vulnerabilities.

攻击时间线

2026-03-28Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.01% (2% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件wandb

供应商wandb

影响范围修复版本

0.0.0 – 0.0.00.0.1

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-798 CWE-259

时间线

已保留2026-03-27
发布日期2026-03-28
修改日期2026-03-30
EPSS 更新日期2026-04-04

未修复 — 披露已57天

缓解措施和替代方案

由于供应商没有提供官方修复程序，因此即时缓解措施的重点是避免使用 OpenUI 的易受攻击版本。如果必须使用 OpenUI，请仔细审查并限制对 backend/openui/config.py 文件的访问，确保只有授权用户才能修改它。还建议实施全面的系统监控，以检测任何可疑活动。请随时关注供应商可能发布的任何安全公告或补丁程序。如果漏洞持续存在，请考虑迁移到更安全的替代方案。

修复方法

如果存在，将 wandb OpenUI 库更新到修复版本。否则，避免使用受影响的功能或应用供应商推荐的缓解措施（如果有）。由于该漏洞涉及硬编码凭据，建议检查并轮换已使用的任何 LITELLM_MASTER_KEY 密钥。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4993 是什么 — wandb 中的漏洞？

这意味着密码或访问密钥直接写入程序的代码中，而不是以安全的方式存储。这使得攻击者能够访问代码时很容易找到它们。

wandb 中的 CVE-2026-4993 是否会影响我？

如果您使用的是 OpenUI 的 0.0.0.0/1.0 之前的版本，那么您很可能受到影响。请检查 backend/openui/config.py 文件，以查看是否包含 LITELLMMASTERKEY 参数。

如何修复 wandb 中的 CVE-2026-4993？

立即更改所有相关的密码，并检查系统日志中是否存在可疑活动。考虑咨询网络安全专家。

CVE-2026-4993 是否正在被积极利用？

限制对 backend/openui/config.py 文件的访问和监控系统是帮助减轻风险的临时措施。

在哪里可以找到 wandb 关于 CVE-2026-4993 的官方安全通告？

不幸的是，由于供应商没有对漏洞披露做出响应，因此没有官方修复的预计时间表。