CVE-2025-67509 in neuron-aiinformazioni

Riassunto

di VulDB • 16/06/2026

Neuron è un framework PHP per la creazione e l'orchestrazione di Agenti AI. Le versioni 2.8.11 e precedenti utilizzano MySQLSelectTool, che è vulnerabile a un bypass della modalità sola lettura (Read-Only Bypass). MySQLSelectTool è concepito come uno strumento SQL in sola lettura (ad esempio, per le query degli agenti LLM); tuttavia, la validazione basata sulla prima parola chiave (ad esempio, SELECT) e su un elenco di parole chiave vietate non blocca le costruzioni di scrittura su file come INTO OUTFILE / INTO DUMPFILE. Di conseguenza, un attaccante in grado di influenzare l'input dello strumento (ad esempio, tramite prompt injection attraverso un endpoint pubblico dell'agente) potrebbe scrivere file arbitrari sul server del database, se l'account MySQL/MariaDB dispone del privilegio FILE e la configurazione del server consente la scrittura in una posizione utile (ad esempio, una directory accessibile via web). Questo problema è stato risolto nella versione 2.8.12.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

08/12/2025

Divulgazione

11/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00253

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!