Vercel News
·
CVE-2025-48985:AI SDK输入验证绕过
内容提要
Vercel的AI SDK发现低严重性安全漏洞,允许用户绕过文件类型白名单,影响文件上传,可能导致攻击者注入任意内容。已在5.0.52和6.0.0-beta.*版本中修复,建议用户升级。
关键要点
-
Vercel的AI SDK发现低严重性安全漏洞,允许用户绕过文件类型白名单。
-
该漏洞影响文件上传,可能导致攻击者注入任意内容。
-
已在5.0.52和6.0.0-beta.*版本中修复,建议用户升级。
-
漏洞发生在convert-to-language-model-prompt.ts文件中,导致下载结果的索引错位。
-
处理混合支持和不支持的URL时,过滤操作可能导致错误的URL键关联。
-
受影响的函数包括generateText()和streamText(),除非在SDK外部实施了明确的数据验证。
-
解决方案是在过滤空文件之前进行文件映射,以保持正确的索引。
-
建议在SDK外部实施自定义文件类型验证逻辑作为替代方案。
-
感谢@aphantom的负责任披露。
延伸解读
漏洞影响分析
Vercel的AI SDK存在的安全漏洞主要影响文件上传功能,攻击者可以利用此漏洞绕过文件类型白名单,注入任意内容。这意味着在处理用户上传的文件时,系统的安全性可能受到威胁,尤其是在涉及敏感数据的应用场景中。
升级的重要性
Vercel已在5.0.52和6.0.0-beta.*版本中修复了该漏洞,用户应尽快升级到最新版本以确保安全。未及时更新可能导致系统面临被攻击的风险,尤其是对于依赖文件上传功能的应用。
自定义验证的必要性
虽然Vercel已修复漏洞,但建议开发者在SDK外部实施自定义文件类型验证逻辑,以增强安全性。仅依赖SDK内置的验证机制可能不足以防范复杂的攻击,因此额外的验证措施是必要的。
延伸问答
CVE-2025-48985漏洞的影响是什么?
该漏洞允许攻击者绕过文件类型白名单,可能导致注入任意内容。
如何修复CVE-2025-48985漏洞?
漏洞已在5.0.52和6.0.0-beta.*版本中修复,建议用户升级到最新版本。
CVE-2025-48985漏洞是如何产生的?
漏洞发生在convert-to-language-model-prompt.ts文件中,因URL与数据映射不当导致索引错位。
受影响的函数有哪些?
受影响的函数包括generateText()和streamText(),除非在SDK外部实施了明确的数据验证。
如何在SDK外部实施文件类型验证?
建议在SDK外部实施自定义文件类型验证逻辑,以增强安全性。
感谢谁对CVE-2025-48985漏洞的披露?
感谢@aphantom的负责任披露。
