CVE-2026-48797: Brak uwierzytelniania w interfejsie Reflex biblioteki Backpropagate
Krytyczna luka w Backpropagate 1.1.0/1.1.1 umożliwia nieautoryzowany dostęp do interfejsu Reflex. Aktualizuj do 1.2.0 i ogranicz ekspozycję UI.
- CVSS
- 9.3 CRITICAL
- EPSS
- 24.31%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Biblioteka Python Backpropagate w wersjach 1.1.0 i 1.1.1 posiada krytyczną lukę w opcjonalnym interfejsie webowym Reflex, który nie wymusza uwierzytelniania, umożliwiając nieautoryzowany dostęp do funkcji treningu modeli i zarządzania danymi. Luka została załatana w wersji 1.2.0.
Wpływ biznesowy
Brak uwierzytelnienia w interfejsie Reflex pozwala atakującemu na zdalne przesyłanie danych, uruchamianie treningów modeli, eksport danych oraz potencjalne wywołanie ataku DoS poprzez zapełnienie dysku. Może to prowadzić do naruszenia poufności danych, nieautoryzowanych zmian w modelach oraz zakłóceń w działaniu infrastruktury IT.
Rekomendowane działania administratora
Zaleca się natychmiastową aktualizację biblioteki Backpropagate do wersji 1.2.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy uruchamiać interfejs UI bez flagi --share, ograniczając dostęp do localhost, korzystać z tunelowania SSH do zdalnego dostępu oraz przeprowadzić audyt i unieważnić wszelkie tokeny HuggingFace używane podczas sesji z flagą --share. Warto również monitorować logi i ograniczać ekspozycję usługi na zewnątrz.