CVE-2026-34999
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 - wyżej niż 34% wszystkich znanych CVE
Streszczenie
OpenViking w wersjach od 0.2.5 do 0.2.13 zawiera brak uwierzytelniania w routerze proxy bota, co pozwala zdalnym, nieuwierzytelnionym atakującym na dostęp do chronionych funkcji proxy bota poprzez wysyłanie żądań do endpointów POST /bot/v1/chat i POST /bot/v1/chat/stream. Atakujący mogą ominąć mechanizmy uwierzytelniania i bezpośrednio komunikować się z backendem bota przez proxy OpenViking bez podawania prawidłowych poświadczeń.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do backendu bota, co może prowadzić do wycieku danych, manipulacji odpowiedziami bota lub wykorzystania go do ataków na inne systemy.
Rekomendacja
Należy natychmiast zaktualizować OpenViking do wersji 0.2.14 lub nowszej, która zawiera poprawkę usuwającą brak uwierzytelniania. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do endpointów POST /bot/v1/chat i POST /bot/v1/chat/stream za pomocą zapory sieciowej lub list kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
OpenViking versions 0.2.5 prior to 0.2.14 contain a missing authentication vulnerability in the bot proxy router that allows remote unauthenticated attackers to access protected bot proxy functionality by sending requests to the POST /bot/v1/chat and POST /bot/v1/chat/stream endpoints. Attackers can bypass authentication checks and interact directly with the upstream bot backend through the OpenViking proxy without providing valid credentials.

