CVE-2026-48797: Відсутність автентифікації у Reflex UI бібліотеки Backpropagate

Вразливість CVE-2026-48797 у Backpropagate Reflex UI дозволяє обходити автентифікацію, що створює ризики несанкціонованого доступу та DoS-атак. Оновлення до версії 1.2.0 рекомендовано.
CVE-2026-48797CVSS 9.3DNS

CVE-2026-48797: Відсутність автентифікації у Reflex UI бібліотеки Backpropagate

Вразливість CVE-2026-48797 у Backpropagate Reflex UI дозволяє обходити автентифікацію, що створює ризики несанкціонованого доступу та DoS-атак. Оновлення до версії 1.2.0 рекомендовано.

CVSS
9.3 CRITICAL
EPSS
24.31%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версіях 1.1.0 та 1.1.1 Python-бібліотеки Backpropagate Reflex UI не забезпечує автентифікацію, незважаючи на заявлені параметри безпеки. Це дозволяє будь-якому користувачу, що має доступ до порту, керувати навчанням моделей, завантажувати дані та виконувати інші дії без обмежень.

Бізнес-вплив

Відсутність автентифікації у веб-інтерфейсі Reflex UI створює критичну загрозу для безпеки, дозволяючи зловмисникам отримувати доступ до конфіденційних даних, запускати довільні навчальні процеси, викликати DoS-атаки через заповнення диску та несанкціоновано публікувати моделі на HuggingFace Hub. Це може призвести до втрати даних, порушення цілісності моделей та збоїв у роботі інфраструктури.

Рекомендовані дії адміністратора

Рекомендується оновити Backpropagate до версії 1.2.0, де ця вразливість усунена. Якщо оновлення наразі неможливе, запускайте Reflex UI без параметрів, щоб він прив’язувався лише до localhost, використовуйте SSH-тунелювання для віддаленого доступу замість параметра --share, а також перевірте журнали та облікові дані HuggingFace Hub, що використовувалися раніше, на предмет можливих зловживань.

Джерела