CVE-2025-67511

CRÍTIC (9,7)

CVSS3: 0,0

Cybersecurity AI (CAI) és un marc de treball de codi obert per a la construcció i el desplegament d’automatització ofensiva i defensiva basada en IA. Les versions 0.5.9 i anteriors són vulnerables a la injecció de comandes a través de la funció run_ssh_command_with_credentials(), que està disponible per als agents d’IA. Només se n’escapa la contrasenya i les entrades de comandes a run_ssh_command_with_credentials, que poden evitar la injecció de shell; mentre que els valors del nom d’usuari, l’amfitrió i el port són injectables.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• aliasrobotics cai <= 0.5.9

Remediació

 Aquest problema no té una solució en el moment de la publicació.

Vegeu-ne les Referències.

Referències

• https://github.com/aliasrobotics/cai/security/advisories/GHSA-4c65-9gqf-4w8h
• https://github.com/aliasrobotics/cai/commit/09ccb6e0baccf56c40e6cb429c698750843a999c
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/67xxx/CVE-2025-67511.json