Plataforma
nodejs
Componente
xataio/xata-agent
Corrigido em
0.1.1
0.2.1
0.3.1
Uma vulnerabilidade de Path Traversal foi descoberta no Xata Agent, afetando as versões de 0.1 até 0.3.0. Essa falha permite que um atacante acesse arquivos e diretórios fora do escopo pretendido, potencialmente expondo informações sensíveis. A atualização para a versão 0.3.1 resolve essa vulnerabilidade, aplicando a correção identificada como 03f27055e0cf5d4fa7e874d34ce8c74c7b9086cc.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante contorne as restrições de acesso ao sistema de arquivos do Xata Agent. Isso pode resultar na leitura de arquivos de configuração, código-fonte, dados de usuários ou outros arquivos confidenciais armazenados no servidor. Em cenários mais graves, um atacante pode até mesmo conseguir executar código malicioso no servidor, dependendo das permissões do usuário sob o qual o Xata Agent está sendo executado. A falta de controles adequados de validação de entrada na função GET do arquivo apps/dbagent/src/app/api/evals/route.ts é a causa raiz da vulnerabilidade.
A vulnerabilidade foi divulgada em 2025-06-19. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A probabilidade de exploração é considerada baixa devido à necessidade de conhecimento específico do sistema e à relativa complexidade da exploração. Não foram identificados Proof of Concepts (PoCs) públicos até o momento.
Organizations utilizing Xata Agent in their data pipelines, particularly those handling sensitive data, are at risk. Shared hosting environments where Xata Agent is deployed alongside other applications should be prioritized, as a compromised Xata Agent could potentially impact other tenants.
• nodejs: Monitor Xata Agent logs for unusual file access attempts or errors related to path traversal. Use lsof or fs.watch to detect unexpected file access patterns.
lsof | grep /path/to/xata/agent/files• generic web: Examine access logs for requests containing path traversal sequences (e.g., ../..).
grep '../..' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.17% (percentil 38%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 0.3.1 do Xata Agent. Essa versão inclui a correção necessária para evitar a exploração do Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao Xata Agent apenas a usuários autorizados e monitorar os logs do sistema em busca de atividades suspeitas. Implementar regras de firewall para limitar o acesso à API de avaliação pode ajudar a reduzir a superfície de ataque. Após a atualização, confirme a correção verificando se a função GET não permite mais o acesso a arquivos fora do diretório esperado.
Atualize Xata Agent para a versão 0.3.1 ou superior. Isso corrige a vulnerabilidade de travessia de caminho. Você pode atualizar o pacote usando npm ou yarn conforme apropriado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-6283 is a Path Traversal vulnerability affecting Xata Agent versions 0.1 through 0.3.1, allowing attackers to potentially access unauthorized files.
If you are using Xata Agent versions 0.1 to 0.3.1, you are affected by this vulnerability. Upgrade to version 0.3.1 to mitigate the risk.
Upgrade Xata Agent to version 0.3.1 or later. The patch ID is 03f27055e0cf5d4fa7e874d34ce8c74c7b9086cc.
As of the current assessment, there are no confirmed reports of active exploitation of CVE-2025-6283.
Refer to the Xata Agent release notes and security advisories on the Xata website for details about this vulnerability and the corresponding fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.