Plataforma
python
Componente
mindsdb
Corregido en
25.11.2
25.11.1
La vulnerabilidad CVE-2025-68472 es un fallo de Path Traversal descubierto en MindsDB, una plataforma para construir inteligencia artificial a partir de datos empresariales. Esta falla permite a atacantes no autenticados leer archivos arbitrarios del sistema de archivos del servidor, comprometiendo datos confidenciales. Afecta a versiones de MindsDB menores o iguales a 25.9.3rc1, y ha sido resuelta en la versión 25.11.1.
Un atacante puede explotar esta vulnerabilidad enviando solicitudes maliciosas al API de carga de archivos de MindsDB. Al manipular la ruta del archivo, el atacante puede acceder a cualquier archivo al que el proceso de MindsDB tenga acceso, incluyendo archivos de configuración, claves de API, y datos sensibles almacenados en el servidor. La exposición de estos archivos podría resultar en la divulgación de información confidencial, la escalada de privilegios, o incluso la toma del control del sistema. La falta de validación adecuada en las cargas de archivos JSON, en comparación con las cargas multipart y las URL, es la causa principal de esta vulnerabilidad.
Esta vulnerabilidad fue publicada el 2026-01-12. No se ha reportado explotación activa en entornos reales, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes. La falta de autenticación necesaria para explotar la vulnerabilidad aumenta su riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations utilizing MindsDB for AI development and deployment, particularly those storing sensitive data within the platform, are at risk. Environments with limited network segmentation or inadequate input validation on file upload endpoints are especially vulnerable. Shared hosting environments running MindsDB are also at increased risk due to potential cross-tenant access.
• python / server:
grep -r "file.py" /opt/mindsdb/app/mindsdb/
grep -r "source_type is not " url"" /opt/mindsdb/app/mindsdb/file.pydisclosure
Estado del Exploit
EPSS
0.45% (64% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-68472 es actualizar MindsDB a la versión 25.11.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten manipular la ruta del archivo. Además, se debe revisar y endurecer los permisos de acceso a los archivos del servidor para limitar el impacto potencial de una explotación exitosa. Monitorear los logs del servidor en busca de patrones de acceso inusuales a archivos también puede ayudar a detectar intentos de explotación.
Actualice MindsDB a la versión 25.11.1 o superior. Esta versión corrige la vulnerabilidad de path traversal en la API de carga de archivos, evitando la lectura de archivos arbitrarios y la exposición de datos sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68472 is a Path Traversal vulnerability in MindsDB versions up to 25.9.3rc1, allowing unauthenticated attackers to read sensitive files.
You are affected if you are running MindsDB version 25.9.3rc1 or earlier. Upgrade to 25.11.1 to resolve the issue.
Upgrade MindsDB to version 25.11.1 or later. As a temporary workaround, restrict network access to the file upload API.
There is no confirmed active exploitation of CVE-2025-68472 at this time, but the HIGH severity score warrants immediate attention.
Refer to the official MindsDB security advisory for detailed information and updates regarding CVE-2025-68472.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.