CVE-2026-14738
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
W komponencie Vision Feature Cache w exo-explore exo do wersji 1.0.71 wykryto użycie słabej funkcji skrótu w funkcji _image_cache_key. Luka umożliwia zdalny atak, ale jest trudna do wykorzystania ze względu na wysoką złożoność. Publicznie udostępniono exploit, a poprawka oczekuje na akceptację.
Ocena ryzyka
Organizacja narażona jest na potencjalne zdalne ataki wykorzystujące słaby skrót w pamięci podręcznej obrazów, co może prowadzić do naruszenia integralności danych lub nieautoryzowanego dostępu. Wysoka złożoność ataku zmniejsza ryzyko, ale publiczny exploit zwiększa pilność działań.
Rekomendacja
Należy natychmiast zastosować dostępną poprawkę z pull requesta lub zaktualizować exo-explore exo do wersji powyżej 1.0.71 po jej wydaniu. Do czasu aktualizacji ograniczyć dostęp do podatnego komponentu.
Oryginalny opis (angielski, źródło NVD)
A security flaw has been discovered in exo-explore exo up to 1.0.71. Affected is the function _image_cache_key of the file src/exo/worker/engines/mlx/vision.py of the component Vision Feature Cache. The manipulation results in use of weak hash. It is possible to launch the attack remotely. A high complexity level is associated with this attack. The exploitability is told to be difficult. The exploit has been released to the public and may be used for attacks. The pull request to fix this issue awaits acceptance.

