Vercel AI SDK文件类型验证绕过漏洞分析与修复

本文详细分析了CVE-2025-48985漏洞,该漏洞存在于Vercel AI SDK中,允许攻击者绕过文件类型白名单验证。文章包含漏洞描述、影响版本、修复方案及CVSS评分等关键技术细节。

概述

CVE-2025-48985是Vercel AI SDK中的一个安全漏洞,已在版本5.0.52、5.1.0-beta.9和6.0.0-beta中修复。该漏洞可能允许用户在文件上传时绕过文件类型白名单验证。

漏洞详情

漏洞描述:Vercel AI SDK中存在输入验证绕过漏洞,攻击者可能利用此漏洞绕过文件上传时的文件类型白名单限制。

受影响版本

  • 5.0.52之前版本
  • 5.1.0-beta.9之前测试版
  • 6.0.0-beta之前测试版

修复方案

  • 升级Vercel AI SDK至5.0.52或更高版本
  • 确保正确配置文件类型白名单

技术指标

CVSS 3.1评分:3.7(低危)

攻击向量:网络 攻击复杂度:高 所需权限:无 用户交互:无 影响范围:未改变 机密性影响:无 完整性影响:低 可用性影响:无

参考资源

  • GitHub修复提交:https://github.com/vercel/ai/commit/930399bb9839a8baf3d349614106d78268775eed
  • Vercel更新日志:https://vercel.com/changelog/cve-2025-48985-input-validation-bypass-on-ai-sdk

时间线

  • 发布日期:2025年11月7日
  • 最后修改:2025年11月7日
  • 远程利用:是
  • 漏洞来源:support@hackerone.com

安全建议

所有使用Vercel AI SDK的用户应立即升级到已修复的版本,并检查文件上传验证机制的有效性,确保文件类型白名单配置正确无误。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次