OpenViking 认证绕过漏洞总结 漏洞概述 漏洞名称:OpenViking Authentication Bypass via VikingBot OpenAPI 严重等级:CRITICAL (严重) 发布日期:2026/4/17 CVSS 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/V:C/H:N/SC:N/SI:N/SA:N 漏洞描述:在 OpenViking 的 OpenAPI HTTP 路由中,当 配置值未设置或为空时,认证检查会失效。拥有网络访问权限的远程攻击者可以在不提供有效 头的情况下调用特权机器人控制功能。这包括提交攻击者控制的提示、创建或运行 bot 会话,以及访问下游工具、集成、密钥或数据。 影响范围 受影响组件:OpenViking (VikingBot OpenAPI) 触发条件: 配置值未设置或为空。 攻击后果: 调用特权机器人控制功能。 提交攻击者控制的提示 (Prompt Injection)。 创建或运行 bot 会话。 访问下游工具、集成、密钥或数据。 修复方案 修复状态:已修复 修复提交: 相关引用: Pull Request: Pull Request Patch Commit: Patch Commit 建议措施:确保 配置值已正确设置且非空,以防止未授权访问。