Katalog CVE

CVE-2026-13507

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

W komponencie Local VectorDB Primary-key Label Handler biblioteki OpenViking (do wersji 0.3.21) wykryto podatność polegającą na niewystarczającej weryfikacji autentyczności danych podczas przetwarzania argumentu ID w funkcji str_to_uint64. Atak może być przeprowadzony zdalnie, ale jest bardzo złożony i trudny do wykorzystania.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości zdalnego manipulowania danymi w lokalnym wektorowym systemie bazodanowym, co może prowadzić do naruszenia integralności indeksów lub kluczy podstawowych. Ze względu na wysoką złożoność ataku, ryzyko jest ograniczone, ale wymaga monitorowania.

Rekomendacja

Zaleca się natychmiastowe zastosowanie łatki z pull requesta po jej zaakceptowaniu oraz aktualizację do najnowszej wersji OpenViking. Do czasu wydania poprawki należy ograniczyć dostęp do interfejsów wykorzystujących tę funkcję.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was detected in volcengine OpenViking up to 0.3.21. This affects the function str_to_uint64 of the file openviking/storage/vectordb/utils/str_to_uint64.py of the component Local VectorDB Primary-key Label Handler. The manipulation of the argument ID results in insufficient verification of data authenticity. The attack may be launched remotely. Attacks of this nature are highly complex. The exploitability is reported as difficult. The pull request to fix this issue awaits acceptance.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS