CRITICAL🇬🇧 English

CVE-2026-40525

Pominięcie uwierzytelnienia w OpenViking VikingBot OpenAPI

CVSS 9.1v4.0pub. 2026-04-17upd. 2026-05-05

OpenViking w wersjach przed 0.3.9 zawiera podatność typu authentication bypass w trasach HTTP VikingBot OpenAPI, która umożliwia nieuwierzytelnionym atakującym dostęp do uprzywilejowanych funkcji bota. Jest to zagrożenie krytyczne, ponieważ nie wymaga żadnych poświadczeń ani interakcji użytkownika.

Pokaż oryginał (EN)

OpenViking prior to version 0.3.9 contains an authentication bypass vulnerability in the VikingBot OpenAPI HTTP route surface where the authentication check fails open when the api_key configuration value is unset or empty. Remote attackers with network access to the exposed service can invoke privileged bot-control functionality without providing a valid X-API-Key header, including submitting attacker-controlled prompts, creating or using bot sessions, and accessing downstream tools, integrations, secrets, or data accessible to the bot.

🤖 Analiza AI
Jak działa

Mechanizm uwierzytelnienia w VikingBot OpenAPI kończy się niepowodzeniem w trybie 'fail open', gdy wartość konfiguracyjna api_key jest nieustawiona lub pusta. W takiej sytuacji weryfikacja nagłówka X-API-Key jest pomijana, a każde żądanie sieciowe jest traktowane jako autoryzowane. Zdalny atakujący mający dostęp sieciowy do usługi może wysyłać żądania bez podawania poprawnego klucza API i uzyskać pełny dostęp do funkcji sterowania botem.

Skutki

Atakujący może bez uwierzytelnienia przesyłać kontrolowane przez siebie prompty, tworzyć i wykorzystywać sesje bota oraz uzyskiwać dostęp do narzędzi, integracji, sekretów i danych dostępnych dla bota, co może prowadzić do wycieku wrażliwych danych i przejęcia kontroli nad funkcjonalnością systemu.

Mitygacja

Należy zaktualizować OpenViking do wersji 0.3.9 lub nowszej, dostępnej pod adresem https://github.com/volcengine/OpenViking/releases/tag/v0.3.9. Dodatkowo należy upewnić się, że wartość konfiguracyjna api_key jest ustawiona na niepustą, losową i silną wartość.

Kogo dotyczy

Volcengine OpenViking w wersjach wcześniejszych niż 0.3.9, w konfiguracjach gdzie wartość api_key jest nieustawiona lub pusta.

Uwagi

Poprawka została wprowadzona commitem c7bb1676f4d037609f041bf39e4e2bd52e8f9820 w ramach pull request #1447 w repozytorium GitHub producenta.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Volcengine Openviking

    APP
    Volcengine
    < 0.3.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-28518HIGH8.4ten sam produkt

OpenViking versions 0.2.1 and prior, fixed in commit 46b3e76, contain a path traversal vulnerability in the .o...

CVE-2026-22680MEDIUM6.9ten sam produkt

OpenViking versions prior to 0.3.3 contain a missing authorization vulnerability in the task polling endpoints...

CVE-2026-34999MEDIUM6.9ten sam produkt

OpenViking versions 0.2.5 prior to 0.2.14 contain a missing authentication vulnerability in the bot proxy rout...