Plataforma
nodejs
Componente
xataio/xata-agent
Corregido en
0.1.1
0.2.1
0.3.1
Se ha descubierto una vulnerabilidad de Path Traversal en Xata Agent, afectando versiones desde 0.1 hasta 0.3.0. Esta falla permite a un atacante manipular argumentos para acceder a archivos fuera del directorio previsto, comprometiendo la confidencialidad de los datos. La actualización a la versión 0.3.1 soluciona esta vulnerabilidad. Se recomienda aplicar la actualización lo antes posible.
La vulnerabilidad de Path Traversal en Xata Agent permite a un atacante, mediante la manipulación de argumentos en la función GET del archivo apps/dbagent/src/app/api/evals/route.ts, acceder a archivos y directorios sensibles en el sistema de archivos subyacente. Esto podría incluir información de configuración, claves de API, datos de usuarios o cualquier otro archivo al que el proceso de Xata Agent tenga acceso. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, modificar archivos o incluso ejecutar código malicioso en el sistema, dependiendo de los permisos del usuario bajo el cual se ejecuta Xata Agent. Aunque la severidad es clasificada como baja, el impacto potencial en la confidencialidad de los datos es significativo.
Actualmente no se han reportado casos de explotación activa de CVE-2025-6283. La vulnerabilidad no ha sido agregada al KEV de CISA ni se ha identificado un EPSS score. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
Organizations utilizing Xata Agent in their data pipelines, particularly those handling sensitive data, are at risk. Shared hosting environments where Xata Agent is deployed alongside other applications should be prioritized, as a compromised Xata Agent could potentially impact other tenants.
• nodejs: Monitor Xata Agent logs for unusual file access attempts or errors related to path traversal. Use lsof or fs.watch to detect unexpected file access patterns.
lsof | grep /path/to/xata/agent/files• generic web: Examine access logs for requests containing path traversal sequences (e.g., ../..).
grep '../..' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-6283 es actualizar Xata Agent a la versión 0.3.1. Esta versión incluye la corrección 03f27055e0cf5d4fa7e874d34ce8c74c7b9086cc que aborda la vulnerabilidad de Path Traversal. Si la actualización a la versión 0.3.1 no es inmediatamente posible, considere implementar restricciones de acceso a nivel de sistema de archivos para limitar el daño potencial. Revise y endurezca los permisos del usuario bajo el cual se ejecuta Xata Agent para minimizar el acceso a archivos sensibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los intentos de acceso a archivos fuera del directorio previsto sean rechazados.
Actualice Xata Agent a la versión 0.3.1 o superior. Esto corrige la vulnerabilidad de recorrido de ruta. Puede actualizar el paquete utilizando npm o yarn según corresponda.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-6283 is a Path Traversal vulnerability affecting Xata Agent versions 0.1 through 0.3.1, allowing attackers to potentially access unauthorized files.
If you are using Xata Agent versions 0.1 to 0.3.1, you are affected by this vulnerability. Upgrade to version 0.3.1 to mitigate the risk.
Upgrade Xata Agent to version 0.3.1 or later. The patch ID is 03f27055e0cf5d4fa7e874d34ce8c74c7b9086cc.
As of the current assessment, there are no confirmed reports of active exploitation of CVE-2025-6283.
Refer to the Xata Agent release notes and security advisories on the Xata website for details about this vulnerability and the corresponding fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.