CVE-2025-67511
CriticalSummary
Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do systemów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Brak dostępnej poprawki zwiększa ryzyko eksploatacji tej luki.
Recommendation
Zaleca się aktualizację do najnowszej wersji CAI, gdy poprawka zostanie wydana, oraz monitorowanie systemów pod kątem nieautoryzowanych działań. Należy również rozważyć ograniczenie dostępu do funkcji run_ssh_command_with_credentials.
Original NVD description (English source)
Cybersecurity AI (CAI) is an open-source framework for building and deploying AI-powered offensive and defensive automation. Versions 0.5.9 and below are vulnerable to Command Injection through the run_ssh_command_with_credentials() function, which is available to AI agents. Only password and command inputs are escaped in run_ssh_command_with_credentials to prevent shell injection; while username, host and port values are injectable. This issue does not have a fix at the time of publication.

