प्लेटफ़ॉर्म
python
घटक
mindsdb
में ठीक किया गया
25.11.2
25.11.1
CVE-2025-68472 एक उच्च गंभीरता वाली भेद्यता है जो mindsdb को प्रभावित करती है। यह भेद्यता फ़ाइल अपलोड API में एक अनधिकृत पथ पारगमन के कारण होती है, जिससे हमलावर सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलों को पढ़ और स्थानांतरित कर सकते हैं। यह भेद्यता mindsdb के संस्करणों ≤25.9.3rc1 को प्रभावित करती है और इसे 25.11.1 में ठीक किया गया है।
यह भेद्यता हमलावरों को mindsdb सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलों को पढ़ने और स्थानांतरित करने की अनुमति देती है। इसका मतलब है कि हमलावर संवेदनशील डेटा, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल और अन्य गोपनीय जानकारी तक पहुंच प्राप्त कर सकते हैं। हमलावर इस जानकारी का उपयोग सिस्टम पर नियंत्रण हासिल करने, डेटा को चुराने या सिस्टम को बाधित करने के लिए कर सकते हैं। पथ पारगमन भेद्यता के कारण, हमलावर मनमाने कोड को निष्पादित करने में सक्षम हो सकते हैं, जिससे डेटा हानि या सिस्टम समझौता हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह अनधिकृत है, जिसका अर्थ है कि हमलावर को प्रमाणीकरण की आवश्यकता नहीं है।
CVE-2025-68472 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन भेद्यता की गंभीरता और अनधिकृत प्रकृति के कारण, इसका शोषण किया जा सकता है। इस भेद्यता को BlueRock द्वारा खोजा गया था और 2026-01-12 को सार्वजनिक रूप से खुलासा किया गया था। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बनाते हैं।
Organizations utilizing MindsDB for AI development and deployment, particularly those storing sensitive data within the platform, are at risk. Environments with limited network segmentation or inadequate input validation on file upload endpoints are especially vulnerable. Shared hosting environments running MindsDB are also at increased risk due to potential cross-tenant access.
• python / server:
grep -r "file.py" /opt/mindsdb/app/mindsdb/
grep -r "source_type is not " url"" /opt/mindsdb/app/mindsdb/file.pydisclosure
एक्सप्लॉइट स्थिति
EPSS
0.45% (64% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-68472 को कम करने के लिए, mindsdb को संस्करण 25.11.1 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड API में इनपुट सत्यापन को लागू करें ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ता द्वारा प्रदान किए गए फ़ाइल पथ मान्य हैं। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल अपलोड निर्देशिका तक पहुंच को प्रतिबंधित करने के लिए फ़ाइल सिस्टम अनुमतियों को कॉन्फ़िगर करें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल अपलोड API के माध्यम से मनमाना फ़ाइलों को पढ़ने का प्रयास करके।
Actualice MindsDB a la versión 25.11.1 o superior. Esta versión corrige la vulnerabilidad de path traversal en la API de carga de archivos, evitando la lectura de archivos arbitrarios y la exposición de datos sensibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68472 mindsdb में फ़ाइल अपलोड API में एक पथ पारगमन भेद्यता है, जिससे हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं।
यदि आप mindsdb के संस्करण ≤25.9.3rc1 चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
mindsdb को संस्करण 25.11.1 या बाद के संस्करण में अपग्रेड करें।
CVE-2025-68472 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसका शोषण किया जा सकता है।
कृपया mindsdb की वेबसाइट पर सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।