Katalog CVE

CVE-2025-67511

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do systemów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Brak dostępnej poprawki zwiększa ryzyko eksploatacji tej luki.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji CAI, gdy poprawka zostanie wydana, oraz monitorowanie systemów pod kątem nieautoryzowanych działań. Należy również rozważyć ograniczenie dostępu do funkcji run_ssh_command_with_credentials.

Oryginalny opis (angielski, źródło NVD)

Cybersecurity AI (CAI) is an open-source framework for building and deploying AI-powered offensive and defensive automation. Versions 0.5.9 and below are vulnerable to Command Injection through the run_ssh_command_with_credentials() function, which is available to AI agents. Only password and command inputs are escaped in run_ssh_command_with_credentials to prevent shell injection; while username, host and port values are injectable. This issue does not have a fix at the time of publication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS