Katalog CVE

CVE-2026-34999

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 34 - wyżej niż 34% wszystkich znanych CVE

Streszczenie

OpenViking w wersjach od 0.2.5 do 0.2.13 zawiera brak uwierzytelniania w routerze proxy bota, co pozwala zdalnym, nieuwierzytelnionym atakującym na dostęp do chronionych funkcji proxy bota poprzez wysyłanie żądań do endpointów POST /bot/v1/chat i POST /bot/v1/chat/stream. Atakujący mogą ominąć mechanizmy uwierzytelniania i bezpośrednio komunikować się z backendem bota przez proxy OpenViking bez podawania prawidłowych poświadczeń.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do backendu bota, co może prowadzić do wycieku danych, manipulacji odpowiedziami bota lub wykorzystania go do ataków na inne systemy.

Rekomendacja

Należy natychmiast zaktualizować OpenViking do wersji 0.2.14 lub nowszej, która zawiera poprawkę usuwającą brak uwierzytelniania. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do endpointów POST /bot/v1/chat i POST /bot/v1/chat/stream za pomocą zapory sieciowej lub list kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

OpenViking versions 0.2.5 prior to 0.2.14 contain a missing authentication vulnerability in the bot proxy router that allows remote unauthenticated attackers to access protected bot proxy functionality by sending requests to the POST /bot/v1/chat and POST /bot/v1/chat/stream endpoints. Attackers can bypass authentication checks and interact directly with the upstream bot backend through the OpenViking proxy without providing valid credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS