OpenViking версий 0.2.5 до 0.2.14 содержит недостающую уязвимость аутентификации в прокси-маршрутизаторе бота, которая позволяет удаленным неаутентифицированным злоумышленникам получить доступ к защищенным функциям прокси-бота путем отправки запросов к конечным точкам POST /bot/v1/chat и POST /bot/v1/chat/stream. Злоумышленники могут обойти проверки аутентификации и напрямую взаимодействовать с серверной частью бота через прокси-сервер OpenViking, не предоставляя действительных учетных данных.
Показать оригинальное описание (EN)
OpenViking versions 0.2.5 prior to 0.2.14 contain a missing authentication vulnerability in the bot proxy router that allows remote unauthenticated attackers to access protected bot proxy functionality by sending requests to the POST /bot/v1/chat and POST /bot/v1/chat/stream endpoints. Attackers can bypass authentication checks and interact directly with the upstream bot backend through the OpenViking proxy without providing valid credentials.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Volcengine Openviking
cpe:2.3:a:volcengine:openviking:*:*:*:*:*:*:*:*
|
0.2.5
|
0.2.14
|