defog-ai introspect जोपर्यंत 0.1.4 Test Endpoint integration_routes.py test_custom_tool input_model विशेषाधिकार वाढीचे प्रमाण वाढले
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
सारांश
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती defog-ai introspect जोपर्यंत 0.1.4 मध्ये आढळली आहे. प्रभावित आहे फंक्शन test_custom_tool फाइल introspect/backend/integration_routes.py च्या घटक Test Endpoint च्या. सॉफ्टवेअरमध्ये input_model या आर्ग्युमेंटचे केलेली छेडछाड विशेषाधिकार वाढीचे प्रमाण वाढले निर्माण करते.
ही असुरक्षा CVE-2025-4767 म्हणून नोंदवली गेली आहे. हल्ला स्थानिक पातळीवर केला जावा लागतो. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
तपशील
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती defog-ai introspect जोपर्यंत 0.1.4 मध्ये आढळली आहे. प्रभावित आहे फंक्शन test_custom_tool फाइल introspect/backend/integration_routes.py च्या घटक Test Endpoint च्या. सॉफ्टवेअरमध्ये input_model या आर्ग्युमेंटचे केलेली छेडछाड विशेषाधिकार वाढीचे प्रमाण वाढले निर्माण करते. CWE वापरून समस्या घोषित केल्याने CWE-94 कडे नेले जाते. कमजोरी प्रकाशित करण्यात आली होती सह XingTu Team of Legendsec at QI-ANXIN म्हणून 496. सल्ला डाउनलोडसाठी github.com येथे शेअर केला आहे.
ही असुरक्षा CVE-2025-4767 म्हणून नोंदवली गेली आहे. हल्ला स्थानिक पातळीवर केला जावा लागतो. तांत्रिक तपशील उपलब्ध आहेत. ही असुरक्षितता सामान्यपेक्षा कमी लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे उघड झाले आहे आणि वापरले जाऊ शकते. सध्याच्या घडीला अंदाजे USD $0-$5k असू शकतो. MITRE ATT&CK प्रकल्पाने हल्ल्याची तंत्रज्ञान T1059 म्हणून घोषित केली आहे.
हे प्रूफ-ऑफ-कॉन्सेप्ट म्हणून घोषित केले आहे. डाउनलोडसाठी शोषण github.com वर उपलब्ध आहे.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
उत्पादन
प्रकार
विक्रेता
नाम
आवृत्ती:
संकेतस्थळ
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔒VulDB विश्वसनीयता:: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA सदिश: 🔒
CVSSv3
VulDB मेटा बेस स्कोअर: 5.3VulDB मेटा टेम्प स्कोअर: 5.0
VulDB बेस स्कोअर: 5.3
VulDB टेम्प स्कोअर: 4.8
VulDB सदिश: 🔒
VulDB विश्वसनीयता:: 🔍
CNA बेस स्कोअर: 5.3
CNA सदिश: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔒
VulDB टेम्प स्कोअर: 🔒
VulDB विश्वसनीयता:: 🔍
शोषण करणे:
वर्ग: विशेषाधिकार वाढीचे प्रमाण वाढलेCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
शारीरिक: अंशतः
स्थानिक: हो
रिमोट: नाही
उपलब्धता: 🔒
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔒
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: कोणतेही शमन माहित नाहीस्थान: 🔍
0 दिवसांचा वेळ: 🔒
टाइमलाइन
15/05/2025 सल्लागाराने खुलासा केला15/05/2025 VulDB Entry निर्माण
27/05/2025 VulDB Entry शेवटचे अपडेट
स्त्रोत
उत्पादन: github.comसल्लागार: 496
संघटना: XingTu Team of Legendsec at QI-ANXIN
स्थान: परिभाषित केलेले नाही
CVE: CVE-2025-4767 (🔒)
GCVE (CVE): GCVE-0-2025-4767
GCVE (VulDB): GCVE-100-309068
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 15/05/2025 02:32 PMअद्ययावत: 27/05/2025 01:50 PM
बदल: 15/05/2025 02:32 PM (59), 16/05/2025 01:06 PM (1), 16/05/2025 01:23 PM (30), 27/05/2025 01:50 PM (1)
संपूर्ण: 🔍
Submitter: ybdesire
Committer: ybdesire
Cache ID: 253:77F:103
प्रस्तुत करा
मान्य केले
- प्रस्तुत करा #571363: defog-ai introspect v0.1.0 to v0.1.4 Code Injection (जवळ ybdesire)
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.