الثغرات ›

CVE-2026-34999

متوسط

CWE-306 — نوع الضعف

                    نُشر: Apr 1, 2026                      ·  آخر تحديث: Apr 3, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenViking versions 0.2.5 prior to 0.2.14 contain a missing authentication vulnerability in the bot proxy router that allows remote unauthenticated attackers to access protected bot proxy functionality by sending requests to the POST /bot/v1/chat and POST /bot/v1/chat/stream endpoints. Attackers can bypass authentication checks and interact directly with the upstream bot backend through the OpenViking proxy without providing valid credentials.

🤖 ملخص AI

OpenViking versions before 0.2.14 lack authentication on bot proxy endpoints, allowing unauthenticated remote attackers to bypass security controls and access protected bot functionality. This vulnerability enables direct interaction with upstream bot backends without valid credentials through POST /bot/v1/chat and /bot/v1/chat/stream endpoints.

📄 الوصف (العربية)

يحتوي OpenViking على ثغرة في المصادقة تؤثر على نقاط نهاية وكيل البوت، مما يسمح للمهاجمين بتجاوز آليات التحقق من الهوية. يمكن للمهاجمين إرسال طلبات مباشرة إلى الأنظمة الخلفية للبوت دون توفير بيانات اعتماد صحيحة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenViking السابقة للإصدار 0.2.14 تفتقد المصادقة على نقاط نهاية وكيل البوت، مما يسمح للمهاجمين البعيدين غير المصرح لهم بتجاوز عناصر التحكم الأمنية والوصول إلى وظائف البوت المحمية. يمكّن هذا الضعف من التفاعل المباشر مع الأنظمة الخلفية للبوت دون بيانات اعتماد صحيحة.

🤖 التحليل الذكي آخر تحليل: May 29, 2026 09:44

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

telecom banking government

🎯 تقنيات MITRE ATT&CK

T1589 T1566 T1190

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenViking to version 0.2.14 or later immediately. Implement network-level access controls to restrict access to /bot/v1/chat and /bot/v1/chat/stream endpoints. Deploy Web Application Firewall (WAF) rules to require authentication headers. Monitor logs for unauthorized access attempts to these endpoints.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenViking إلى الإصدار 0.2.14 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط النهاية. نشر قواعد جدار حماية تطبيقات الويب لفرض رؤوس المصادقة. راقب السجلات للكشف عن محاولات الوصول غير المصرح بها.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-2 AC-3

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://github.com/volcengine/OpenViking/commit/27acda8d1701ff68423fbd6c902208e3c1ed9373

disclosure@vulncheck.com

🔗

https://github.com/volcengine/OpenViking/pull/996

disclosure@vulncheck.com

🔗

https://github.com/volcengine/OpenViking/releases/tag/v0.2.14

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openviking-bot-proxy-endpoints-allow-unauthenticat...

disclosure@vulncheck.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-306

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-01

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-306

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-34999

عرّفنا بنفسك

تسجيل الدخول مطلوب