CVE-2026-4994 CVSS 3.5 低危

CVE-2026-4994 wandb OpenUI信息泄露漏洞

披露日期: 2026-03-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4994

漏洞类型

信息泄露

CVSS评分

3.5 低危

攻击向量

邻接 (AV:A)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

wandb OpenUI

漏洞概述

wandb OpenUI 在 1.0 版本及 3.5-turb 版本之前存在一处安全缺陷，被归类为信息泄露漏洞。该问题源于 `backend/openui/server.py` 文件中 `generic_exception_handler` 函数对 `APIStatusError Handler` 组件参数的处理不当。具体而言，攻击者可操纵传入的 `key` 参数，利用系统的异常处理机制获取敏感信息。利用此漏洞需要攻击者拥有本地网络访问权限及低级别特权账户。目前相关利用代码已被公开披露，且厂商尚未做出响应，建议用户密切关注安全动态。

技术细节

该漏洞的技术核心在于 wandb OpenUI 后端服务器（`backend/openui/server.py`）中的异常处理逻辑存在缺陷。在 `generic_exception_handler` 函数处理 `APIStatusError` 时，程序未对传入的 `key` 参数进行严格的输入验证和安全过滤。攻击者通过邻接网络（AV:A）访问目标系统，利用已获得的低权限账号（PR:L），向受影响的接口发送特制的数据包。该数据包包含精心构造的 `key` 参数，旨在触发后端的异常流程。当异常被捕获并由 `generic_exception_handler` 处理时，由于缺乏完善的错误信息脱敏机制，服务器会将包含堆栈跟踪、内部路径或调试信息的详细错误消息返回给客户端。这种信息泄露虽然不直接影响系统的完整性和可用性，但为攻击者提供了宝贵的内部情报，可能被用于策划更复杂的攻击路径。

攻击链分析

STEP 1

步骤1：网络访问

攻击者必须能够访问本地网络，即处于与目标服务器相同的邻接网络环境中（AV:A）。

STEP 2

步骤2：获取低权限账号

攻击者需要拥有目标系统的一个低权限账户或凭证（PR:L），无需用户交互（UI:N）。

STEP 3

步骤3：构造恶意请求

攻击者向 `backend/openui/server.py` 中的接口发送请求，并特意操纵 `key` 参数以触发异常。

STEP 4

步骤4：分析错误信息

服务器通过 `generic_exception_handler` 处理异常，并在错误消息中泄露敏感信息，攻击者解析响应获取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example)
target_url = "http://target-server:port/api/vuln_endpoint"

# The vulnerability involves manipulating the 'key' argument
# to trigger an exception that leaks information.
payload = {
    "key": "malicious_input_to_trigger_exception"
}

# Send request
# Note: Local network access and low privileges are required
response = requests.get(target_url, params=payload)

# Check for information leakage in response
if response.status_code == 500 or "Error" in response.text:
    print("[+] Potential information disclosure detected:")
    print(response.text)
else:
    print("[-] Exploit failed or target patched.")

影响范围

wandb OpenUI <= 1.0

wandb OpenUI 3.5-turb

防御指南

临时缓解措施

建议在网络层面限制对 OpenUI 服务的访问来源，仅允许可信的内网或VPN连接。在官方修复补丁发布前，可在 WAF 或反向代理层配置规则，拦截包含异常特征的 `key` 参数请求，并确保所有错误页面经过通用化处理，避免泄露系统内部细节。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4994
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4994
3 Details https://www.cvedetails.com/cve/CVE-2026-4994/
4 VulDB https://vuldb.com/cve/CVE-2026-4994
5 Link https://gist.github.com/YLChen-007/8c6ff147186855e4b716e7526de213e1
6 Link https://vuldb.com/?ctiid.353881
7 Link https://vuldb.com/?id.353881
8 Link https://vuldb.com/?submit.778266

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表