Er is een kritieke kwetsbaarheid ontdekt in eosphoros-ai’s DB-GPT 0.7.0. Deze kwetsbaarheid, aangeduid als CVE-2025-51459, stelt externe aanvallers in staat om willekeurige code uit te voeren via een kwaadaardig plugin ZIP-bestand dat wordt geüpload naar de /v1/personal/agent/upload endpoint. Dit vormt een groot risico omdat aanvallers zonder interactie van de gebruiker toegang tot uw systemen kunnen krijgen.
Overzicht
De file upload kwetsbaarheid bevindt zich in agent.hub.controller.refresh_plugins en maakt misbruik van plugin_hub._sanitize_filename en plugins_util.scan_plugins, waardoor het mogelijk is om schadelijke bestanden uit te voeren binnen het DB-GPT-systeem.
Aanbevelingen
- Controleer en beperk de toegang tot de
/v1/personal/agent/uploadendpoint. - Implementeer strikte validaties op ingediende ZIP-bestanden met plugins.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-51459?
CVE-2025-51459 is een kwetsbaarheid die het mogelijk maakt voor aanvallers om via een onveilige file upload-functionaliteit schadelijke bestanden uit te voeren.
Welke systemen zijn kwetsbaar voor CVE-2025-51459?
De kwetsbaarheid is van toepassing op DB-GPT versie 0.7.0, die momenteel als getroffen wordt beschouwd.
Bestaat er al een patch of beveiligingsupdate?
Raadpleeg de bronnen om te zien of er een nieuwe update beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid doen?
Een aanvaller kan zonder uw weten toegang krijgen tot belangrijke systeemfuncties en potentieel schadelijke activiteiten uitvoeren.
