CVE-2026-40525

Name of the Vulnerable Software and Affected Versions OpenViking versões anteriores ao commit c7bb167

Description Existe um bypass de autenticação na superfície de rota HTTP do VikingBot OpenAPI. O problema ocorre quando o valor de configuração api key não está definido ou está vazio, fazendo com que a verificação de autenticação falhe aberta. Atacantes remotos com acesso de rede ao serviço exposto podem invocar funcionalidades privilegiadas de controle do bot sem fornecer um cabeçalho 'X-API-Key' válido. Isso permite o envio de prompts controlados pelo atacante, a criação ou uso de sessões de bot e o acesso não autorizado a ferramentas downstream, integrações, segredos ou dados acessíveis ao bot.

Recommendations Atualize o OpenViking para o commit c7bb167 ou uma versão mais recente. Certifique-se de que o valor de configuração api key esteja devidamente definido e não seja deixado vazio.