rembg
Corrigido em
2.0.58
2.0.58
2.0.58
O CVE-2025-25301 é uma vulnerabilidade de divulgação de informações presente na ferramenta rembg, utilizada para remover fundos de imagens. Essa falha permite que um atacante acesse imagens hospedadas na rede interna do servidor rembg, comprometendo a confidencialidade dos dados. A vulnerabilidade afeta versões até 2.0.57 e foi corrigida na versão 2.0.58.
Um atacante pode explorar esta vulnerabilidade enviando uma requisição maliciosa para o endpoint /api/remove com um URL que aponta para uma imagem dentro da rede interna do servidor rembg. O servidor, ao tentar buscar e processar a imagem, a retornará ao atacante, expondo potencialmente informações sensíveis contidas na imagem ou no contexto em que ela está armazenada. O impacto pode variar dependendo do tipo de imagem acessada e do nível de acesso do atacante à rede interna. Em cenários mais graves, a exploração desta vulnerabilidade pode levar à identificação de outros sistemas e serviços na rede, facilitando ataques subsequentes.
Este CVE foi publicado em 2025-03-03. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA KEV catalog). A probabilidade de exploração é considerada baixa devido à necessidade de acesso ao servidor rembg e conhecimento do endpoint vulnerável. Não foram identificados Proof of Concepts (PoCs) públicos.
Organizations utilizing Rembg for background removal, particularly those deploying it within internal networks or behind firewalls, are at risk. Shared hosting environments where Rembg is installed alongside other applications could also be vulnerable if the server configuration allows access to internal resources.
• python / server:
# Check Rembg version
pip show rembg• python / server:
import subprocess
result = subprocess.run(['pip', 'show', 'rembg'], capture_output=True, text=True)
if result.returncode == 0:
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version <= '2.0.57':
print('Vulnerability detected: Rembg version is vulnerable.')
else:
print('Rembg version is patched.')
else:
print('Rembg is not installed.')disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a ferramenta rembg para a versão 2.0.58 ou superior, que corrige a vulnerabilidade. Como alternativa, se a atualização imediata não for possível, restrinja o acesso ao endpoint /api/remove através de um firewall ou proxy reverso, permitindo apenas conexões de fontes confiáveis. Implemente validação rigorosa dos URLs fornecidos como parâmetros de consulta para evitar que o servidor acesse recursos não autorizados. Monitore logs de acesso para identificar tentativas de acesso não autorizado ao endpoint.
Atualize a biblioteca Rembg para uma versão posterior à 2.0.57. Isso resolverá a vulnerabilidade SSRF no endpoint /api/remove. Considere implementar validação de URLs ou listas brancas para restringir os domínios aos quais se pode acessar através da função de remoção de fundo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-25301 é uma vulnerabilidade de divulgação de informações na ferramenta rembg, que permite o acesso a imagens hospedadas na rede interna do servidor.
Se você estiver utilizando a ferramenta rembg em uma versão inferior ou igual a 2.0.57, você está potencialmente afetado por esta vulnerabilidade.
A correção é atualizar a ferramenta rembg para a versão 2.0.58 ou superior. Como alternativa, restrinja o acesso ao endpoint /api/remove.
Atualmente, não há evidências de exploração ativa desta vulnerabilidade, mas a probabilidade de exploração não pode ser descartada.
Consulte o repositório oficial da ferramenta rembg no GitHub ou a documentação do projeto para obter informações detalhadas sobre a vulnerabilidade e a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.