Platform
nodejs
Component
nucleoidai/nucleoid
Opgelost in
0.7.1
0.7.2
0.7.3
0.7.4
0.7.5
0.7.6
0.7.7
0.7.8
0.7.9
0.7.10
0.7.11
CVE-2025-11864 beschrijft een server-side request forgery (SSRF) kwetsbaarheid in NucleoidAI Nucleoid. Deze kwetsbaarheid stelt een aanvaller in staat om interne bronnen te benaderen die normaal gesproken niet toegankelijk zijn. De kwetsbaarheid treedt op in versies 0.7.0 tot en met 0.7.10 van NucleoidAI Nucleoid. Een fix is beschikbaar in versie 0.7.10.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne systemen en diensten benaderen die zich achter de firewall bevinden, mogelijk gevoelige gegevens blootleggen of ongeautoriseerde acties uitvoeren. De aanvaller kan bijvoorbeeld interne API's aanroepen, toegang krijgen tot cloud metadata of zelfs interne services misbruiken om verder in het netwerk te bewegen. Dit kan leiden tot data-exfiltratie, verstoring van de dienstverlening en een compromis van de gehele infrastructuur. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden waarbij interne systemen onbedoeld worden blootgesteld.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2025-10-16. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend. De ernst van de kwetsbaarheid is beoordeeld als HIGH met een CVSS score van 7.3. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Organizations deploying NucleoidAI Nucleoid in production environments, particularly those with sensitive internal resources or exposed APIs, are at risk. Shared hosting environments where NucleoidAI Nucleoid instances share network access with other applications are also particularly vulnerable, as a compromised NucleoidAI Nucleoid instance could potentially be used to attack other systems on the same host.
• nodejs / server:
journalctl -u nucleoidai-nucleoid --grep "outbound request"• nodejs / server:
ps aux | grep -i nucleoidai-nucleoid | grep -i "https://"• generic web: Use curl or wget to test outbound request functionality. Check response headers for unexpected origins or internal IP addresses.
curl -v https://nucleoidai-nucleoid-instance/some/internal/pathdisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-11864 is het upgraden naar NucleoidAI Nucleoid versie 0.7.10 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de toegestane URL's die door de applicatie kunnen worden benaderd. Dit kan worden bereikt door een Web Application Firewall (WAF) te configureren om verzoeken naar onbekende of potentieel gevaarlijke domeinen te blokkeren. Controleer ook de configuratie van NucleoidAI Nucleoid om te zorgen voor een minimale privilege-aanpak en beperk de toegang tot interne bronnen. Na de upgrade, verifieer de fix door te proberen een verzoek naar een interne bron te sturen en te controleren of dit wordt geblokkeerd.
Werk NucleoidAI Nucleoid bij naar versie 0.7.10 of hoger. Deze versie bevat een correctie voor de Server-Side Request Forgery (SSRF) kwetsbaarheid in de outbound request handler. De update zal het risico verminderen dat externe aanvallers verzoeken kunnen manipuleren en toegang krijgen tot interne resources.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-11864 is een server-side request forgery (SSRF) kwetsbaarheid in NucleoidAI Nucleoid versies 0.7.0 t/m 0.7.10, waardoor een aanvaller interne bronnen kan benaderen.
Ja, als u NucleoidAI Nucleoid gebruikt in versie 0.7.0 tot en met 0.7.10, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade NucleoidAI Nucleoid naar versie 0.7.10 of hoger. Indien dit niet mogelijk is, implementeer dan restricties op de toegestane URL's.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes.
Raadpleeg de NucleoidAI documentatie en website voor de officiële advisory over CVE-2025-11864.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.