Vercel AI SDK 文件类型白名单绕过漏洞 (CVE-2025-48985)
漏洞概述
Vercel AI SDK 中存在一个安全漏洞,攻击者可以在上传文件时绕过文件类型白名单限制。该漏洞已被分配 CVE 编号 CVE-2025-48985。
受影响版本
受影响版本
< 5.0.52>= 5.1.0-beta.0, < 5.1.0-beta.9
已修复版本
5.0.525.1.0-beta.96.0.0-beta
漏洞详情
该漏洞可能允许用户在上传文件时绕过文件类型白名单检查。建议所有用户升级到已修复的版本。
技术信息
严重程度
- 严重等级: 低
- CVSS 评分: 3.7/10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 无
- 完整性影响: 低
- 可用性影响: 无
弱点类型
- CWE: CWE-682 - 不正确计算
- 产品执行的计算产生不正确或非预期的结果,这些结果随后被用于安全关键决策或资源管理。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-48985
- vercel/ai@930399b
- https://vercel.com/changelog/cve-2025-48985-input-validation-bypass-on-ai-sdk
- vercel/ai#8881
安全建议
所有使用受影响版本的用户应立即升级到已修复的版本,以确保系统的安全性。