rembg
Corregido en
2.0.58
2.0.58
2.0.58
CVE-2025-25301 es una vulnerabilidad de divulgación de información presente en rembg, una herramienta para eliminar fondos de imágenes. Esta vulnerabilidad permite a un atacante acceder a imágenes alojadas en la red interna del servidor rembg, comprometiendo la confidencialidad de los datos. Afecta a versiones de rembg anteriores o iguales a 2.0.57. La vulnerabilidad ha sido solucionada en la versión 2.0.58.
La vulnerabilidad reside en el endpoint /api/remove, que acepta una URL como parámetro de consulta para obtener una imagen, procesarla y devolverla. Un atacante puede explotar esta funcionalidad para realizar consultas y visualizar imágenes almacenadas en la red interna del servidor rembg, incluso si no están expuestas públicamente. Esto podría revelar información sensible, como datos de clientes, imágenes confidenciales o información de infraestructura interna. El impacto potencial es la exposición de datos internos, lo que podría resultar en daño a la reputación, pérdidas financieras o incluso consecuencias legales.
Esta vulnerabilidad fue publicada el 3 de marzo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la herramienta rembg y la relativa simplicidad de la explotación la convierten en un riesgo potencial. No se ha añadido a KEV al momento de esta redacción. La puntuación CVSS de 7.5 (ALTO) indica una probabilidad moderada de explotación.
Organizations utilizing Rembg for background removal, particularly those deploying it within internal networks or behind firewalls, are at risk. Shared hosting environments where Rembg is installed alongside other applications could also be vulnerable if the server configuration allows access to internal resources.
• python / server:
# Check Rembg version
pip show rembg• python / server:
import subprocess
result = subprocess.run(['pip', 'show', 'rembg'], capture_output=True, text=True)
if result.returncode == 0:
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version <= '2.0.57':
print('Vulnerability detected: Rembg version is vulnerable.')
else:
print('Rembg version is patched.')
else:
print('Rembg is not installed.')disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar rembg a la versión 2.0.58 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Restrinja el acceso al endpoint /api/remove solo a fuentes confiables. Implemente una lista blanca de dominios permitidos para las URLs de las imágenes. Monitoree los registros del servidor en busca de solicitudes sospechosas al endpoint /api/remove. Considere el uso de un proxy inverso o WAF para filtrar el tráfico malicioso.
Actualice la biblioteca Rembg a una versión posterior a la 2.0.57. Esto solucionará la vulnerabilidad SSRF en el endpoint /api/remove. Considere implementar validación de URLs o listas blancas para restringir los dominios a los que se puede acceder a través de la función de eliminación de fondo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-25301 es una vulnerabilidad de divulgación de información en rembg que permite a atacantes ver imágenes alojadas en la red interna del servidor. La vulnerabilidad afecta a versiones de rembg anteriores o iguales a 2.0.57.
Si está utilizando rembg en la versión 2.0.57 o anterior, es vulnerable a esta divulgación de información. Verifique su versión actual y actualice si es necesario.
La solución es actualizar rembg a la versión 2.0.58 o superior. Si no puede actualizar inmediatamente, implemente restricciones de acceso al endpoint /api/remove.
No se han reportado explotaciones activas de esta vulnerabilidad en campañas conocidas, pero la simplicidad de la explotación la convierte en un riesgo potencial.
Consulte el repositorio oficial de rembg en GitHub para obtener información y actualizaciones sobre esta vulnerabilidad: [https://github.com/](https://github.com/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.