Vercel AI SDK文件类型白名单绕过漏洞(CVE-2025-48985)
漏洞详情
包信息
- 包管理器: npm
- 包名称: ai
受影响版本
- 小于5.0.52的所有版本
- 大于等于5.1.0-beta.0,小于5.1.0-beta.9的测试版
已修复版本
- 5.0.52
- 5.1.0-beta.9
- 6.0.0-beta
漏洞描述
Vercel AI SDK中存在一个安全漏洞,该漏洞可能允许用户在上传文件时绕过文件类型白名单限制。所有用户都应升级到已修复的版本。
技术细节
CVSS评分
- 总体评分: 3.7/10(低危)
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未改变
- 机密性影响: 无
- 完整性影响: 低
- 可用性影响: 无
弱点分类
- CWE ID: CWE-682
- 弱点描述: 不正确计算 - 产品执行的计算生成不正确或非预期的结果,这些结果随后被用于安全关键决策或资源管理。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-48985
- vercel/ai@930399b
- https://vercel.com/changelog/cve-2025-48985-input-validation-bypass-on-ai-sdk
- vercel/ai#8881
标识符
- CVE ID: CVE-2025-48985
- GHSA ID: GHSA-rwvc-j5jr-mgvh