Vercel News
·
CVE-2025-48985:AI SDK输入验证绕过
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
Vercel的AI SDK发现低严重性安全漏洞,允许用户绕过文件类型白名单,影响文件上传,可能导致攻击者注入任意内容。已在5.0.52和6.0.0-beta.*版本中修复,建议用户升级。
🎯
关键要点
- Vercel的AI SDK发现低严重性安全漏洞,允许用户绕过文件类型白名单。
- 该漏洞影响文件上传,可能导致攻击者注入任意内容。
- 已在5.0.52和6.0.0-beta.*版本中修复,建议用户升级。
- 漏洞发生在convert-to-language-model-prompt.ts文件中,导致下载结果的索引错位。
- 处理混合支持和不支持的URL时,过滤操作可能导致错误的URL键关联。
- 受影响的函数包括generateText()和streamText(),除非在SDK外部实施了明确的数据验证。
- 解决方案是在过滤空文件之前进行文件映射,以保持正确的索引。
- 建议在SDK外部实施自定义文件类型验证逻辑作为替代方案。
- 感谢@aphantom的负责任披露。
❓
延伸问答
CVE-2025-48985漏洞的影响是什么?
该漏洞允许攻击者绕过文件类型白名单,可能导致注入任意内容。
如何修复CVE-2025-48985漏洞?
漏洞已在5.0.52和6.0.0-beta.*版本中修复,建议用户升级到最新版本。
CVE-2025-48985漏洞是如何产生的?
漏洞发生在convert-to-language-model-prompt.ts文件中,因URL与数据映射不当导致索引错位。
受影响的函数有哪些?
受影响的函数包括generateText()和streamText(),除非在SDK外部实施了明确的数据验证。
如何在SDK外部实施文件类型验证?
建议在SDK外部实施自定义文件类型验证逻辑,以增强安全性。
感谢谁对CVE-2025-48985漏洞的披露?
感谢@aphantom的负责任披露。
➡️
