CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-67511

Critical
Published: Translated: NVD NIST

Summary

Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do systemów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Brak dostępnej poprawki zwiększa ryzyko eksploatacji tej luki.

Recommendation

Zaleca się aktualizację do najnowszej wersji CAI, gdy poprawka zostanie wydana, oraz monitorowanie systemów pod kątem nieautoryzowanych działań. Należy również rozważyć ograniczenie dostępu do funkcji run_ssh_command_with_credentials.

Original NVD description (English source)

Cybersecurity AI (CAI) is an open-source framework for building and deploying AI-powered offensive and defensive automation. Versions 0.5.9 and below are vulnerable to Command Injection through the run_ssh_command_with_credentials() function, which is available to AI agents. Only password and command inputs are escaped in run_ssh_command_with_credentials to prevent shell injection; while username, host and port values are injectable. This issue does not have a fix at the time of publication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS