OpenViking through version 0.1.18, prior to commit 0251c70, contains a broken access control vulnerability that allows unauthenticated attackers to gain ROOT privileges when the root_api_key configuration is omitted. Attackers can send requests to protected endpoints without authentication headers to access administrative functions including account management, resource operations, and system configuration.
OpenViking versions up to 0.1.18 contain a critical broken access control vulnerability allowing unauthenticated attackers to gain ROOT privileges when root_api_key configuration is missing. Attackers can directly access protected administrative endpoints without authentication to manage accounts, resources, and system configurations.
تحتوي OpenViking على ثغرة حرجة في التحكم بالوصول حيث يمكن للمهاجمين الوصول إلى وظائف إدارية حساسة بدون بيانات اعتماد عند عدم تكوين مفتاح API الجذر. هذا يسمح بالوصول الكامل لإدارة الحسابات والموارد والنظام. الثغرة تؤثر على جميع الإصدارات حتى 0.1.18 قبل الإصلاح المحدد.
إصدارات OpenViking حتى 0.1.18 تحتوي على ثغرة حرجة في التحكم بالوصول تسمح للمهاجمين غير المصرحين بالحصول على امتيازات ROOT عند غياب تكوين root_api_key. يمكن للمهاجمين الوصول مباشرة إلى نقاط النهاية الإدارية المحمية دون مصادقة.
Immediately upgrade OpenViking to version after commit 0251c70 or latest patched release. Ensure root_api_key configuration is properly set and enforced in all deployments. Implement network segmentation to restrict access to administrative endpoints. Conduct immediate audit of access logs for unauthorized API calls. Deploy Web Application Firewall rules to block unauthenticated requests to protected endpoints.
قم بترقية OpenViking فوراً إلى الإصدار الذي يتجاوز commit 0251c70 أو أحدث إصدار مصحح. تأكد من تعيين وفرض تكوين root_api_key في جميع النشرات. طبق تقسيم الشبكة لتقييد الوصول إلى نقاط النهاية الإدارية. أجرِ تدقيقاً فورياً لسجلات الوصول للكشف عن استدعاءات API غير مصرحة. نشر قواعد جدار تطبيقات الويب لحجب الطلبات غير المصرحة.