OpenViking versions 0.2.5 prior to 0.2.14 contain a missing authentication vulnerability in the bot proxy router that allows remote unauthenticated attackers to access protected bot proxy functionality by sending requests to the POST /bot/v1/chat and POST /bot/v1/chat/stream endpoints. Attackers can bypass authentication checks and interact directly with the upstream bot backend through the OpenViking proxy without providing valid credentials.
OpenViking versions before 0.2.14 lack authentication on bot proxy endpoints, allowing unauthenticated remote attackers to bypass security controls and access protected bot functionality. This vulnerability enables direct interaction with upstream bot backends without valid credentials through POST /bot/v1/chat and /bot/v1/chat/stream endpoints.
يحتوي OpenViking على ثغرة في المصادقة تؤثر على نقاط نهاية وكيل البوت، مما يسمح للمهاجمين بتجاوز آليات التحقق من الهوية. يمكن للمهاجمين إرسال طلبات مباشرة إلى الأنظمة الخلفية للبوت دون توفير بيانات اعتماد صحيحة.
إصدارات OpenViking السابقة للإصدار 0.2.14 تفتقد المصادقة على نقاط نهاية وكيل البوت، مما يسمح للمهاجمين البعيدين غير المصرح لهم بتجاوز عناصر التحكم الأمنية والوصول إلى وظائف البوت المحمية. يمكّن هذا الضعف من التفاعل المباشر مع الأنظمة الخلفية للبوت دون بيانات اعتماد صحيحة.
Upgrade OpenViking to version 0.2.14 or later immediately. Implement network-level access controls to restrict access to /bot/v1/chat and /bot/v1/chat/stream endpoints. Deploy Web Application Firewall (WAF) rules to require authentication headers. Monitor logs for unauthorized access attempts to these endpoints.
قم بترقية OpenViking إلى الإصدار 0.2.14 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط النهاية. نشر قواعد جدار حماية تطبيقات الويب لفرض رؤوس المصادقة. راقب السجلات للكشف عن محاولات الوصول غير المصرح بها.