CVE-2026-13507
ŚrednieCVSS 5.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W komponencie Local VectorDB Primary-key Label Handler biblioteki OpenViking (do wersji 0.3.21) wykryto podatność polegającą na niewystarczającej weryfikacji autentyczności danych podczas przetwarzania argumentu ID w funkcji str_to_uint64. Atak może być przeprowadzony zdalnie, ale jest bardzo złożony i trudny do wykorzystania.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości zdalnego manipulowania danymi w lokalnym wektorowym systemie bazodanowym, co może prowadzić do naruszenia integralności indeksów lub kluczy podstawowych. Ze względu na wysoką złożoność ataku, ryzyko jest ograniczone, ale wymaga monitorowania.
Rekomendacja
Zaleca się natychmiastowe zastosowanie łatki z pull requesta po jej zaakceptowaniu oraz aktualizację do najnowszej wersji OpenViking. Do czasu wydania poprawki należy ograniczyć dostęp do interfejsów wykorzystujących tę funkcję.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in volcengine OpenViking up to 0.3.21. This affects the function str_to_uint64 of the file openviking/storage/vectordb/utils/str_to_uint64.py of the component Local VectorDB Primary-key Label Handler. The manipulation of the argument ID results in insufficient verification of data authenticity. The attack may be launched remotely. Attacks of this nature are highly complex. The exploitability is reported as difficult. The pull request to fix this issue awaits acceptance.

