CVE-2025-67509 in neuron-ai
Riassunto
di VulDB • 16/06/2026
Neuron è un framework PHP per la creazione e l'orchestrazione di Agenti AI. Le versioni 2.8.11 e precedenti utilizzano MySQLSelectTool, che è vulnerabile a un bypass della modalità sola lettura (Read-Only Bypass). MySQLSelectTool è concepito come uno strumento SQL in sola lettura (ad esempio, per le query degli agenti LLM); tuttavia, la validazione basata sulla prima parola chiave (ad esempio, SELECT) e su un elenco di parole chiave vietate non blocca le costruzioni di scrittura su file come INTO OUTFILE / INTO DUMPFILE. Di conseguenza, un attaccante in grado di influenzare l'input dello strumento (ad esempio, tramite prompt injection attraverso un endpoint pubblico dell'agente) potrebbe scrivere file arbitrari sul server del database, se l'account MySQL/MariaDB dispone del privilegio FILE e la configurazione del server consente la scrittura in una posizione utile (ad esempio, una directory accessibile via web). Questo problema è stato risolto nella versione 2.8.12.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.