Er is een kritieke SQL-injectie kwetsbaarheid ontdekt in de eosphoros-ai DB-GPT versie 0.7.0. Deze kwetsbaarheid, aangeduid als CVE-2025-51458, kan door kwaadwillenden worden misbruikt om willekeurige SQL-opdrachten uit te voeren. Hierdoor kunnen ze toegang krijgen tot gevoelige gegevens zonder direct contact met de gebruiker. Deze kwetsbaarheid komt voor in de endpoints /v1/editor/sql/run en /v1/editor/chart/run.
De CVSS-score voor deze kwetsbaarheid is 6.5, een middelgroot risico dat voornamelijk via netwerktoegang kan worden uitgebuit, zonder dat er enige gebruikersinteractie nodig is. Dit maakt het essentieel dat systemen snel worden geüpdatet en beveiligd.
Overzicht
De kwetsbaarheid komt voort uit een onjuiste neutralisatie van speciale elementen in SQL-commando’s, aangeduid als CWE-89. Kwaadwillenden kunnen via deze route ongeautoriseerd toegang krijgen tot gevoelige informatie.
Aanbevelingen
- Controleer of er updates of patches beschikbaar zijn voor DB-GPT 0.7.0 en voer deze zo snel mogelijk door. Raadpleeg de relevante documentatie en release notes.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-51458?
CVE-2025-51458 betreft een SQL-injectie kwetsbaarheid in eosphoros-ai DB-GPT versie 0.7.0, waarbij aanvallers SQL-instructies kunnen injecteren via specifieke API-eindpunten.
Welke systemen zijn kwetsbaar voor CVE-2025-51458?
Alle systemen die draaien op de aangetaste versie 0.7.0 van eosphoros-ai DB-GPT kunnen potentieel kwetsbaar zijn.
Bestaat er al een patch of beveiligingsupdate?
Het is essentieel om te controleren op beschikbare patches via de officiële kanalen en deze direct te implementeren om het risico te minimaliseren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk toegang krijgen tot gevoelige database-informatie en de applicatie manipuleerbare acties laten uitvoeren zonder toestemming.
