LOWCVE-2026-4995CVSS 3.5

CVE-2026-4995 wandb OpenUI XSS 漏洞，影响版本

Q: CVE-2026-4995 是什么 — wandb 中的漏洞？

XSS (跨站脚本) 是一种安全漏洞，允许攻击者将恶意脚本注入到其他用户访问的网站中。 这些脚本可以窃取信息、修改网站行为，或接管用户帐户。

Q: wandb 中的 CVE-2026-4995 是否会影响我？

如果您正在使用 OpenUI 的 1.0 或更早版本，则容易受到攻击。 监控网络流量和系统日志以查找可疑活动。

Q: 如何修复 wandb 中的 CVE-2026-4995？

立即更改您的密码并通知您的系统管理员。 对系统进行全面扫描以查找恶意软件。

平台

python

组件

wandb

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-4995 描述了 wandb OpenUI 中的一个跨站脚本（XSS）漏洞，攻击者可以通过构造恶意请求来触发该漏洞。该漏洞存在于 frontend/public/annotator/index.html 的未知功能中，攻击者可以远程利用此漏洞。受影响的版本为 1.0。由于目前没有官方补丁，用户应采取其他缓解措施。

影响与攻击场景

CVE-2026-4995 影响 wandb OpenUI 的 1.0 及更早版本，在 frontend/public/annotator/index.html 中的 'Window Message Event Handler' 组件中暴露了一个跨站脚本 (XSS) 漏洞。此漏洞允许攻击者将恶意脚本注入到应用程序中，这些脚本将在其他用户的浏览器中执行。由于漏洞可以远程利用，因此风险很高，攻击者可以窃取敏感信息、修改应用程序行为，甚至接管用户帐户。供应商未响应披露情况，这加剧了情况，使用户没有立即的官方修复。公开披露的漏洞增加了攻击的风险，因为它便于恶意行为者实施。

利用背景

该漏洞位于 frontend/public/annotator/index.html，特别是窗口消息事件的处理中。攻击者可以通过发送包含恶意 JavaScript 代码的精心设计的窗口消息来利用此漏洞。此代码将在接收消息的用户上下文中执行，从而允许攻击者代表该用户执行操作。漏洞的远程利用性质意味着攻击者无需物理访问系统即可利用此漏洞。公开披露的漏洞便于其使用，并且供应商的未响应增加了攻击发生的可能性。

哪些人处于风险中翻译中…

Organizations utilizing wandb OpenUI version 1.0, particularly those with sensitive data displayed within the interface, are at risk. Teams relying on wandb for data visualization and collaboration should prioritize patching or implementing mitigation strategies. Shared hosting environments where multiple users share the same wandb OpenUI instance are also at increased risk.

检测步骤翻译中…

• python / wandb: Inspect the frontend/public/annotator/index.html file for suspicious JavaScript code or injection points.

import os
import re

file_path = 'frontend/public/annotator/index.html'

with open(file_path, 'r') as f:
    content = f.read()

# Look for patterns indicative of XSS (e.g., <script> tags, eval(), etc.)
if re.search(r'<script.*?>.*?</script>', content, re.IGNORECASE):
    print(f"Potential XSS vulnerability detected in {file_path}")

攻击时间线

2026-03-28Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.03% (8% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件wandb

供应商wandb

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-79 CWE-94

时间线

已保留2026-03-27
发布日期2026-03-28
修改日期2026-04-01
EPSS 更新日期2026-04-04

未修复 — 披露已57天

缓解措施和替代方案

由于供应商没有提供修复程序，因此立即缓解至关重要。强烈建议尽快升级到 OpenUI 的最新版本。同时，可以实施额外的安全措施，例如应用严格的内容安全策略 (CSP) 以限制从不可信来源执行脚本。密切监控网络流量以查找可疑活动，并教育用户了解 XSS 的风险以及如何识别潜在攻击也很重要。对所有用户输入进行严格验证和清理对于防止恶意代码注入至关重要。考虑使用 Web 应用程序防火墙 (WAF) 可以提供额外的保护层。

修复方法

更新到已修补或更高版本。由于没有指定修复版本，建议联系供应商以获取修复版本。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4995 是什么 — wandb 中的漏洞？

XSS (跨站脚本) 是一种安全漏洞，允许攻击者将恶意脚本注入到其他用户访问的网站中。这些脚本可以窃取信息、修改网站行为，或接管用户帐户。

wandb 中的 CVE-2026-4995 是否会影响我？

如果您正在使用 OpenUI 的 1.0 或更早版本，则容易受到攻击。监控网络流量和系统日志以查找可疑活动。

如何修复 wandb 中的 CVE-2026-4995？

立即更改您的密码并通知您的系统管理员。对系统进行全面扫描以查找恶意软件。

CVE-2026-4995 是否正在被积极利用？

您可以使用内容安全策略 (CSP) 和 Web 应用程序防火墙 (WAF) 来帮助缓解此漏洞。

在哪里可以找到 wandb 关于 CVE-2026-4995 的官方安全通告？

不幸的是，供应商尚未对本漏洞的披露做出响应，因此无法预测何时会发布修复程序。