平台
python
组件
mindsdb
修复版本
25.11.2
25.11.1
CVE-2025-68472 描述了 mindsdb 版本小于等于 25.9.3rc1 中的拒绝服务 (DoS) 漏洞。该漏洞源于文件上传 API 中的未经验证的文件路径遍历,允许攻击者读取服务器文件系统中的敏感数据,并可能导致服务中断。该漏洞已于 2026 年 1 月 12 日公开,建议用户尽快升级到 25.11.1 版本以缓解风险。
该漏洞允许未经身份验证的攻击者通过文件路径遍历漏洞读取服务器文件系统中的任意文件。攻击者可以利用此漏洞访问敏感数据,例如配置文件、数据库凭据或源代码。此外,攻击者还可以将文件移动到 MindsDB 的存储中,从而导致数据损坏或服务中断。由于该漏洞无需身份验证即可利用,因此其潜在影响范围非常广泛,可能影响所有使用受影响版本 mindsdb 的系统。攻击者可能利用此漏洞进行数据泄露、破坏或进一步的攻击。
该漏洞已公开披露,且存在潜在的利用风险。目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录,但应密切关注相关安全公告和更新。建议用户采取积极措施来保护其系统免受此漏洞的攻击。
Organizations utilizing MindsDB for AI development and deployment, particularly those storing sensitive data within the platform, are at risk. Environments with limited network segmentation or inadequate input validation on file upload endpoints are especially vulnerable. Shared hosting environments running MindsDB are also at increased risk due to potential cross-tenant access.
• python / server:
grep -r "file.py" /opt/mindsdb/app/mindsdb/
grep -r "source_type is not " url"" /opt/mindsdb/app/mindsdb/file.pydisclosure
漏洞利用状态
EPSS
0.45% (64% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即升级到 mindsdb 25.11.1 或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:限制文件上传 API 的访问权限,仅允许受信任的用户或应用程序访问;实施严格的文件验证,确保上传的文件名不包含恶意字符或路径遍历序列;监控文件上传 API 的活动,检测任何异常行为。升级后,请验证修复是否成功,例如通过尝试使用恶意文件名访问受保护的文件,确认无法读取。
Actualice MindsDB a la versión 25.11.1 o superior. Esta versión corrige la vulnerabilidad de path traversal en la API de carga de archivos, evitando la lectura de archivos arbitrarios y la exposición de datos sensibles.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68472 是 mindsdb 版本小于等于 25.9.3rc1 中的一个拒绝服务漏洞,攻击者可以通过文件路径遍历读取服务器文件系统中的任意文件。
如果您正在使用 mindsdb 版本小于等于 25.9.3rc1,则您可能受到此漏洞的影响。请立即升级到 25.11.1 或更高版本。
升级到 mindsdb 25.11.1 或更高版本是修复此漏洞的最佳方法。如果无法立即升级,请实施临时缓解措施,例如限制文件上传 API 的访问权限。
目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。
请访问 mindsdb 的官方安全公告页面,以获取有关此漏洞的最新信息和修复指南:[https://bluerock.io/](https://bluerock.io/)
上传你的 requirements.txt 文件,立即知道是否受影响。