Plataforma
python
Componente
backend-ai
Corregido en
25.15.6
La vulnerabilidad CVE-2025-49652 es una grave falta de autenticación en la función de registro de BackendAI, el componente backend de Lablup. Esta omisión permite a usuarios no autorizados crear cuentas de usuario, incluso cuando el registro está deshabilitado, lo que resulta en un acceso no autorizado a datos privados. La vulnerabilidad afecta a las versiones de BackendAI menores o iguales a 22.3.0 y ha sido resuelta en la versión 25.15.6.
El impacto de esta vulnerabilidad es significativo. Un atacante puede explotarla para crear cuentas de usuario falsas y obtener acceso a información confidencial almacenada en BackendAI. Esto podría incluir datos de clientes, información financiera, secretos comerciales o cualquier otro dato sensible que BackendAI procese. La falta de autenticación significa que no se requiere ninguna credencial para crear estas cuentas, lo que facilita enormemente la explotación. El atacante podría utilizar estas cuentas para realizar acciones maliciosas, como la modificación o eliminación de datos, la suplantación de identidad de usuarios legítimos o el acceso a otros sistemas a través de BackendAI. La severidad CRÍTICA (9.8) indica un riesgo muy alto de explotación y un impacto potencialmente devastador.
La vulnerabilidad fue publicada el 9 de junio de 2025. Actualmente no se dispone de información sobre una campaña de explotación activa, pero la falta de autenticación es un vector de ataque común y la alta puntuación CVSS (9.8) sugiere un alto riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción.
Organizations utilizing BackendAI for data storage and processing, particularly those relying on the registration feature for access control, are at significant risk. Environments with legacy configurations or those that have disabled registration but still run vulnerable versions are especially susceptible to exploitation.
• python / server:
import requests
import json
url = "http://your-backendai-server/register"
data = {}
response = requests.post(url, json=data)
if response.status_code == 200:
print("Potential vulnerability detected: Successful registration without authentication.")
else:
print("Registration requires authentication.")• generic web: Check for registration endpoints accessible without authentication. Use curl to test registration endpoints with empty or invalid data to see if accounts can be created.
curl -X POST -d '{}' http://your-backendai-server/registerdisclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-49652 es actualizar BackendAI a la versión 25.15.6 o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente la función de registro en BackendAI para evitar la creación de nuevas cuentas no autorizadas. Como medida adicional, se recomienda revisar cuidadosamente todas las cuentas de usuario existentes para identificar y eliminar cualquier cuenta sospechosa. Implementar una solución de Web Application Firewall (WAF) con reglas que detecten y bloqueen intentos de creación de cuentas no autorizadas puede proporcionar una capa adicional de protección. Monitorear los registros de acceso de BackendAI en busca de patrones inusuales de creación de cuentas también puede ayudar a detectar y responder a posibles ataques.
Actualice BackendAI a la última versión disponible. Si no hay una versión disponible, deshabilite temporalmente la función de registro de usuarios o implemente una autenticación robusta para el proceso de registro. Consulte el advisory de HiddenLayer para obtener más detalles y posibles mitigaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49652 describes a missing authentication check in BackendAI's registration feature, allowing unauthorized account creation and potential access to private data.
You are affected if you are using BackendAI versions 22.3.0 or earlier. Upgrade to 25.15.6 to resolve the vulnerability.
Upgrade BackendAI to version 25.15.6 or later. As a temporary workaround, disable the registration feature until the upgrade can be performed.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it likely that exploitation attempts will occur. Monitor security advisories for updates.
Refer to the official Lablup security advisories page for the latest information and updates regarding CVE-2025-49652.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.