Plateforme
python
Composant
rembg
Corrigé dans
2.0.58
2.0.58
2.0.58
La vulnérabilité CVE-2025-25301 concerne une faille de divulgation d'informations dans rembg, un outil de suppression d'arrière-plan d'images. Cette faille permet à un attaquant de visualiser des images hébergées sur le réseau interne du serveur rembg via l'endpoint /api/remove. Elle affecte les versions de rembg antérieures ou égales à 2.0.57. Une correction a été déployée dans la version 2.0.58.
Cette vulnérabilité permet à un attaquant d'exploiter l'endpoint /api/remove pour récupérer des images stockées sur le réseau interne du serveur rembg. L'attaquant peut ainsi accéder à des données sensibles ou confidentielles qui ne devraient pas être accessibles depuis l'extérieur du réseau. L'impact est significatif car il peut conduire à une divulgation d'informations potentiellement critique, compromettant la confidentialité des données stockées sur le réseau interne. Bien que la description ne précise pas de type de données, l'accès à des images internes pourrait révéler des informations sur les processus métier, les employés ou les clients.
La vulnérabilité a été rendue publique le 3 mars 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'accéder au serveur rembg et de comprendre le fonctionnement de l'endpoint /api/remove. Cette vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations utilizing Rembg for background removal, particularly those deploying it within internal networks or behind firewalls, are at risk. Shared hosting environments where Rembg is installed alongside other applications could also be vulnerable if the server configuration allows access to internal resources.
• python / server:
# Check Rembg version
pip show rembg• python / server:
import subprocess
result = subprocess.run(['pip', 'show', 'rembg'], capture_output=True, text=True)
if result.returncode == 0:
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version <= '2.0.57':
print('Vulnerability detected: Rembg version is vulnerable.')
else:
print('Rembg version is patched.')
else:
print('Rembg is not installed.')disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour rembg vers la version 2.0.58 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, une solution temporaire consiste à restreindre l'accès à l'endpoint /api/remove. Cela peut être réalisé en configurant un pare-feu ou un proxy inverse pour bloquer les requêtes provenant de sources non autorisées. Il est également recommandé de surveiller les journaux du serveur pour détecter toute activité suspecte liée à l'endpoint /api/remove. Après la mise à jour, vérifiez que l'accès à l'endpoint /api/remove est correctement restreint et que les images internes ne sont plus accessibles depuis l'extérieur.
Mettez à jour la bibliothèque Rembg vers une version ultérieure à la 2.0.57. Cela corrigera la vulnérabilité SSRF sur le point de terminaison /api/remove. Envisagez de mettre en œuvre une validation d'URL ou des listes blanches pour restreindre les domaines auxquels on peut accéder via la fonction de suppression d'arrière-plan.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-25301 est une vulnérabilité de divulgation d'informations dans rembg, permettant à un attaquant de visualiser des images internes via l'endpoint /api/remove.
Vous êtes affecté si vous utilisez une version de rembg antérieure ou égale à 2.0.57.
Mettez à jour rembg vers la version 2.0.58 ou supérieure. En attendant, restreignez l'accès à l'endpoint /api/remove.
À ce jour, il n'y a pas d'indications d'une exploitation active de CVE-2025-25301.
Consultez le site web de rembg ou le dépôt GitHub pour obtenir les informations officielles sur la vulnérabilité et la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.