プラットフォーム
nodejs
コンポーネント
xataio/xata-agent
修正版
0.1.1
0.2.1
0.3.1
CVE-2025-6283は、Xata Agentにおいて発見されたパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステムへの不正アクセスを行い、機密情報を盗み出す可能性があります。影響を受けるバージョンは0.1から0.3.1です。バージョン0.3.1へのアップデートでこの問題は解決されています。
このパストラバーサル脆弱性は、攻撃者がXata Agentがアクセスできるファイルシステム内の任意のファイルにアクセスすることを可能にします。これにより、機密情報(APIキー、データベース接続文字列、ソースコードなど)が漏洩するリスクがあります。攻撃者は、この脆弱性を悪用して、システムの設定ファイルを変更したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。この脆弱性は、Xata Agentのセキュリティを著しく損ない、データ漏洩やシステム侵害につながる可能性があります。
この脆弱性は、Xata Agentのapps/dbagent/src/app/api/evals/route.tsファイル内のGET関数における引数の不適切な処理が原因です。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVへの登録状況は不明です。
Organizations utilizing Xata Agent in their data pipelines, particularly those handling sensitive data, are at risk. Shared hosting environments where Xata Agent is deployed alongside other applications should be prioritized, as a compromised Xata Agent could potentially impact other tenants.
• nodejs: Monitor Xata Agent logs for unusual file access attempts or errors related to path traversal. Use lsof or fs.watch to detect unexpected file access patterns.
lsof | grep /path/to/xata/agent/files• generic web: Examine access logs for requests containing path traversal sequences (e.g., ../..).
grep '../..' /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.17% (38% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Xata Agentをバージョン0.3.1にアップデートすることです。アップデートがすぐに実行できない場合は、ファイルシステムへのアクセスを制限するファイアウォールルールを実装することを検討してください。また、Xata Agentがアクセスできるファイルシステムの範囲を最小限に抑えるように構成することも有効です。アップデート後、Xata Agentのログを監視し、不正なファイルアクセスがないか確認してください。
Xata Agent をバージョン 0.3.1 以降にアップデートしてください。これにより、パス・トラバーサルの脆弱性が修正されます。npm または yarn を使用してパッケージをアップデートできます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-6283は、Xata Agent 0.1~0.3.1において、攻撃者がファイルシステム内の任意のファイルにアクセスできるパストラバーサル脆弱性です。
Xata Agentのバージョンが0.1から0.3.1の場合は、この脆弱性の影響を受けます。バージョン0.3.1にアップデートしてください。
Xata Agentをバージョン0.3.1にアップデートすることで、この脆弱性は修正されます。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、注意が必要です。
Xata Agentの公式アドバイザリは、Xataのセキュリティ情報ページで確認できます。