描述

Neuron 是一个用于创建和编排AI Agent的PHP框架。2.8.11及更早版本中使用的 MySQLSelectTool 存在“只读绕过”漏洞。MySQLSelectTool 本意是一个只读的SQL工具（例如用于LLM Agent查询），但其基于第一个关键词（例如SELECT）和禁用关键词列表的验证机制，无法阻止像 INTO OUTFILE / INTO DUMPFILE 这样的文件写入构造。因此，如果攻击者能够影响该工具的输入（例如，通过公共Agent端点的提示词注入），并且MySQL/MariaDB账户具有FILE权限、同时服务器配置允许写入有用位置（例如，Web可访问目录），就可能向数据库服务器写入任意文件。此问题已在2.8.12版本中修复。

AI分析（技术总结）

CVE-2025-67509 是一个被归类为CWE-94的代码注入漏洞，影响neuron-core的neuron-ai PHP框架2.8.11及以下版本。该漏洞存在于MySQLSelectTool组件中，该组件设计用于为AI Agent编排执行只读SQL查询。该工具试图通过检查第一个SQL关键词（例如SELECT）和过滤禁用关键词来验证输入，以防止写操作。然而，这种验证是不充分的，因为它无法阻止像INTO OUTFILE或INTO DUMPFILE这样的SQL子句，这些子句可用于向数据库服务器的文件系统写入任意文件。

攻击者如果能影响该工具的输入——例如通过可公开访问的AI Agent端点进行提示词注入——就可以利用此漏洞写入文件，前提是数据库用户拥有FILE权限，并且服务器配置允许写入攻击者可访问的位置，如Web服务器目录。这可能导致任意文件创建，进而可能实现远程代码执行或植入持久性后门。该漏洞无需身份验证或用户交互，可通过网络远程利用。CVSS v3.1评分为8.2（高危），反映了其易于利用和对完整性的重大影响。该问题于2025年12月10日公开披露，并在neuron-ai 2.8.12版本中修复。目前尚未有已知的在野利用报告。

潜在影响

对于欧洲的组织而言，此漏洞对运行2.8.12之前neuron-ai版本的系统完整性构成重大风险。成功利用可能允许攻击者在数据库服务器上写入任意文件，可能导致远程代码执行、数据操纵或持久性后门。这可能危及敏感数据，干扰AI Agent操作，并削弱对AI驱动服务的信任。依赖neuron-ai进行AI编排的组织，特别是那些公开暴露Agent端点的组织，面临更高的风险。

如果数据库用户拥有FILE权限且服务器允许写入Web可访问目录，影响会被放大，可能导致网站篡改、托管恶意软件或在网络内横向移动。鉴于其远程、无需认证的攻击向量，攻击者可以大规模攻击易受攻击的系统。机密性影响有限（CVSS显示为低），但完整性影响高，可用性未受直接影响。此威胁对于在生产环境中部署了AI的行业尤其相关，包括欧洲范围内的金融、医疗保健和关键基础设施。

缓解建议

欧洲组织应立即将neuron-ai升级至2.8.12或更高版本以应用官方修复。在完成修补之前，限制或移除neuron-ai所使用的MySQL/MariaDB账户的FILE权限，以防止文件写入操作。审查并强化数据库服务器配置，禁止向Web可访问或敏感目录写入文件。在所有AI Agent端点实施严格的输入验证和净化，以防止可能影响SQL查询的提示词注入攻击。监控日志中是否包含INTO OUTFILE或类似子句的可疑SQL查询。采用网络分段来隔离数据库服务器，并将AI Agent端点的暴露范围限制在可信网络或已认证用户。定期对AI编排框架和数据库权限进行安全审计。考虑部署具有自定义规则的Web应用防火墙（WAF），以检测和阻止针对此漏洞的恶意SQL负载。

受影响国家

德国、法国、英国、荷兰、瑞典、芬兰、意大利、西班牙

技术详情

• 数据版本: 5.2
• 分配者简称: GitHub_M
• 发布日期: 2025-12-08T21:36:28.780Z
• CVSS 版本: 3.1
• 状态: PUBLISHED
• 威胁 ID: 6939ff557cb4621ebe9f6bd0
• 添加到数据库时间: 12/10/2025, 11:16:37 PM
• 最近丰富更新时间: 12/10/2025, 11:24:04 PM
• 最近更新时间: 12/11/2025, 11:59:04 AM
• 浏览量: 46