Een ernstige kwetsbaarheid, CVE-2025-51475, is ontdekt in TransformerOptimus SuperAGI versie 0.0.14. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige bestanden te overschrijven via onveilig ingediende bestandsnamen. Het probleem doet zich voor bij de onjuiste afhandeling van directory-traversals in os.path.join() en ontbrekende padvalidatie in get_root_input_dir().
Door deze tekortkoming kan een aanvaller toegang krijgen tot gevoelige informatie die normaal afgeschermd zou moeten zijn. De kwetsbaarheid heeft een CVSS-score van 5.0 en wordt beschouwd als ‘medium’ in ernst.
Overzicht
Arbitrary File Overwrite (AFO) treedt op doordat SuperAGI onvoldoende controle uitoefent op bestandsnamen bij het uploaden. Dit kan leiden tot onthulling van vertrouwelijke gegevens.
Aanbevelingen
- Controleer op updates of patches die door TransformerOptimus mogelijk zijn uitgebracht. Bezoek de GitHub-pagina van TransformerOptimus voor actuele informatie.
- Implementeer tijdelijke best practices voor beveiliging, zoals strikte validatie van invoerbestanden en versterking van toegangsbeheer, totdat een patch beschikbaar is.
Bronnen
- Meer details over de kwetsbaarheid zijn te vinden op de blog van Gecko Security.
- Voor de laatste updates, bezoek de officiële GitHub-repository.
Vraag en Antwoord
Wat is CVE-2025-51475?
Dit is een beveiligingsfout in SuperAGI die een aanvaller toestaat bestanden te overschrijven door ongeldige padnamen bij het uploaden van bestanden te gebruiken.
Welke systemen zijn kwetsbaar voor CVE-2025-51475?
De kwetsbaarheid treft TransformationOtimus SuperAGI versie 0.0.14.
Bestaat er al een patch of beveiligingsupdate?
Controleer de GitHub-pagina voor eventuele beveiligingspatches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel schadelijke bestanden overschrijven en toegang krijgen tot gevoelige gegevens via path traversals.
