HIGHCVE-2025-6772CVSS 7.3

eosphoros-ai db-gpt import import_flow 路径遍历漏洞

平台

python

组件

db-gpt

修复版本

0.7.1

0.7.2

0.7.3

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-6772 是 eosphoros-ai db-gpt 软件中发现的一个关键路径遍历漏洞。该漏洞允许攻击者通过操纵文件导入过程中的参数，访问未经授权的文件和目录。受影响的版本包括 0.7.0 到 0.7.2。已发布补丁，建议立即升级至 0.7.3 版本以消除此风险。

影响与攻击场景

该路径遍历漏洞允许攻击者绕过正常的访问控制机制，读取或写入服务器上的任意文件。攻击者可以利用此漏洞获取敏感信息，例如配置文件、数据库凭据或源代码。更严重的后果包括攻击者能够修改系统文件，导致服务中断或完全控制服务器。由于漏洞利用程序已公开，攻击者可以轻松地利用此漏洞，造成重大安全风险。攻击者可能利用此漏洞进行数据泄露、权限提升和进一步的横向移动。

利用背景

该漏洞利用程序已公开，表明攻击者可以轻松地利用此漏洞。目前没有关于此漏洞被积极利用的公开报告，但由于漏洞利用程序的可用性，存在被利用的风险。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。建议密切关注漏洞利用情况，并采取适当的缓解措施。

哪些人处于风险中翻译中…

Organizations deploying db-gpt in production environments, particularly those with publicly accessible API endpoints, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's instance could lead to access to other users' data. Systems using older, unpatched versions of db-gpt are most susceptible.

检测步骤翻译中…

• python / server:

import os
import requests

url = 'http://your-db-gpt-server/api/v2/serve/awel/flow/import'

# Attempt path traversal
file_param = 'File=../../../../etc/passwd'

# Send the request
response = requests.post(url, data={'import_flow': file_param})

# Check for sensitive file content in the response
if 'root:' in response.text:
    print('Potential Path Traversal Detected!')
else:
    print('No Path Traversal Detected.')

攻击时间线

2025-06-27Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.48% (65% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件db-gpt

供应商eosphoros-ai

影响范围修复版本

0.7.0 – 0.7.00.7.1

0.7.1 – 0.7.10.7.2

0.7.2 – 0.7.20.7.3

弱点分类 (CWE)

CWE-22

时间线

已保留2025-06-27
发布日期2025-06-27
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 db-gpt 升级至 0.7.3 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求，阻止对敏感文件的访问。此外，应审查和强化服务器的访问控制策略，确保只有授权用户才能访问关键文件和目录。监控系统日志，查找任何异常的文件访问活动，有助于及早发现和响应潜在的攻击。

修复方法翻译中…

Actualice db-gpt a una versión posterior a 0.7.2 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el registro de cambios para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere deshabilitar o eliminar la función import_flow hasta que se publique una actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-6772 — 路径遍历漏洞在 db-gpt 中？

CVE-2025-6772 是 eosphoros-ai db-gpt 软件中发现的一个关键路径遍历漏洞，允许攻击者通过操纵文件导入过程中的参数访问未经授权的文件和目录。

我是否受到 CVE-2025-6772 在 db-gpt 中影响？

如果您正在使用 db-gpt 的 0.7.0 到 0.7.2 版本，则您可能受到此漏洞的影响。请立即升级至 0.7.3 或更高版本。

我如何修复 CVE-2025-6772 在 db-gpt 中？

最有效的修复方法是立即将 db-gpt 升级至 0.7.3 或更高版本。如果无法升级，请使用 WAF 或反向代理来过滤恶意请求。

CVE-2025-6772 是否正在被积极利用？

虽然目前没有关于此漏洞被积极利用的公开报告，但由于漏洞利用程序已公开，存在被利用的风险。

在哪里可以找到官方 db-gpt 针对 CVE-2025-6772 的公告？

请访问 eosphoros-ai 的官方网站或 GitHub 仓库，查找有关 CVE-2025-6772 的安全公告。