CVE-2025-68472

plus petit que 1 minute de lecture

Mis à jour : January 14, 2026

Traversée de répertoire dans MindsDB

Une vulnérabilité critique, identifiée sous le numéro CVE-2025-68472, a été découverte dans MindsDB, une plateforme de développement d’IA. Ce défaut permet à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur et de les déplacer dans l’espace de stockage de MindsDB, exposant ainsi des données sensibles.

Points Clés:

La vulnérabilité affecte les versions de MindsDB antérieures à la 25.11.1.
Elle est due à une mauvaise gestion des entrées utilisateur dans l’API d’upload de fichiers, plus précisément dans le gestionnaire PUT de file.py.
Lorsqu’une requête est au format JSON et que le source_type n’est pas “url”, les données contrôlées par l’utilisateur sont utilisées pour construire un chemin de fichier.

Vulnérabilité:

Type: Traversée de répertoire non authentifiée (Unauthenticated Path Traversal).
CVE: CVE-2025-68472.

Recommandations:

Mettre à jour MindsDB vers la version 25.11.1 ou une version ultérieure dès que possible.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68472

Partager sur

Vous pourriez aimer

Victorian Department of Education says hackers stole students’ data

Vol de Données au Ministère de l’Éducation de Victoria

Verizon Wireless outage puts phones in SOS mode without cell service

Upcoming Speaking Engagements

Ukraines army targeted in new charity-themed malware campaign

Campagne d’hameçonnage ciblée sur l’armée ukrainienne