CVE-2026-40525
KrytyczneStreszczenie
OpenViking przed wersją 0.3.9 zawiera podatność na obejście uwierzytelniania w interfejsie OpenAPI VikingBot, gdzie sprawdzenie uwierzytelnienia nie działa poprawnie, gdy wartość konfiguracyjna api_key jest nieustawiona lub pusta. Zdalni atakujący mogą uzyskać dostęp do funkcji kontrolnych bota bez podawania ważnego nagłówka X-API-Key.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do przejęcia kontroli nad botem, co może prowadzić do nieautoryzowanego dostępu do danych, narzędzi i integracji. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację OpenViking do wersji 0.3.9 lub nowszej oraz skonfigurowanie wartości api_key, aby zapobiec nieautoryzowanemu dostępowi. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
OpenViking prior to version 0.3.9 contains an authentication bypass vulnerability in the VikingBot OpenAPI HTTP route surface where the authentication check fails open when the api_key configuration value is unset or empty. Remote attackers with network access to the exposed service can invoke privileged bot-control functionality without providing a valid X-API-Key header, including submitting attacker-controlled prompts, creating or using bot sessions, and accessing downstream tools, integrations, secrets, or data accessible to the bot.

