OpenViking versions prior to 0.3.3 contain a missing authorization vulnerability in the task polling endpoints that allows unauthorized attackers to enumerate or retrieve background task metadata created by other users. Attackers can access the /api/v1/tasks and /api/v1/tasks/{task_id} routes without authentication to expose task type, task status, resource identifiers, archive URIs, result payloads, and error information, potentially causing cross-tenant interference in multi-tenant deployments.
OpenViking versions before 0.3.3 lack authorization checks on task polling endpoints, allowing unauthenticated attackers to enumerate and retrieve background task metadata from other users. This vulnerability exposes sensitive task information including status, resource identifiers, and result payloads in multi-tenant environments.
يحتوي OpenViking على ثغرة في التفويض تسمح للمهاجمين غير المصرح لهم بالوصول إلى نقاط نهاية /api/v1/tasks و /api/v1/tasks/{task_id} دون مصادقة. يمكن للمهاجمين الحصول على معلومات حساسة مثل نوع المهمة والحالة ومعرفات الموارد وحمولات النتائج. في بيئات متعددة المستأجرين، قد يؤدي هذا إلى تداخل بين المستأجرين وتسرب البيانات.
إصدارات OpenViking السابقة للإصدار 0.3.3 تفتقر إلى فحوصات التفويض على نقاط نهاية استطلاع المهام، مما يسمح للمهاجمين غير المصرح لهم بتعداد واسترجاع بيانات وصفية للمهام من مستخدمين آخرين. يكشف هذا الضعف معلومات حساسة عن المهام بما في ذلك الحالة والمعرفات والحمولات.
Upgrade OpenViking to version 0.3.3 or later immediately. Implement network-level access controls to restrict API endpoint access. Enable authentication and authorization checks on all task-related endpoints. Conduct security audit of exposed task metadata and implement multi-tenant isolation controls.
قم بترقية OpenViking إلى الإصدار 0.3.3 أو أحدث على الفور. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط النهاية. فعّل المصادقة والتفويض على جميع نقاط النهاية المتعلقة بالمهام. أجرِ تدقيقاً أمنياً للبيانات الوصفية المكشوفة وطبق عناصر تحكم في عزل المستأجرين.