CVE-2026-2531

المصدر الرسمي: NVD

العودة للثغرات المصدر الرسمي

مستوى الخطورة

متوسطة (Medium)

درجة CVSS

5,3

حالة الاستغلال KEV

غير مدرجة حاليًا

تاريخ النشر

2026-02-16

وصف الثغرة

تم اكتشاف ثغرة أمنية في MindsDB حتى الإصدار 25.14.1. تؤثر هذه الثغرة على دالة clear_filename في الملف mindsdb/utilities/security.py ضمن مكون رفع الملفات. تؤدي هذه الثغرة إلى تمكين هجوم تزوير طلبات من جانب الخادم (SSRF). يمكن تنفيذ الهجوم عن بُعد. تم الكشف عن استغلال هذه الثغرة بشكل علني وربما يتم استخدامها. يُنصح بتطبيق التصحيح الذي يحمل الاسم 74d6f0fd4b630218519a700fbee1c05c7fd4b1ed لحل المشكلة.

الأثر المحتمل

تم تصنيف تأثير الثغرة بدرجة متوسطة (5.3 وفق نظام CVSS 4.0). الثغرة تتيح للمهاجم تنفيذ طلبات خبيثة من خلال الخادم المستهدف مما قد يؤدي إلى الوصول غير المصرح به أو التلاعب في البيانات.

التوصيات والمعالجة

ينصح بشدة بتطبيق التصحيح المرفق مع الثغرة (74d6f0fd4b630218519a700fbee1c05c7fd4b1ed) لتفادي استغلالها. راجع روابط المصدر الرسمية لمزيد من التفاصيل والإرشادات الخاصة بالتحديث.

حالة الاستغلال (KEV)

لا يوجد إدراج حاليًا في قائمة KEV.

المراجع الرسمية

English Technical Fields

Description: A security vulnerability has been detected in MindsDB up to 25.14.1. This vulnerability affects the function clear_filename of the file mindsdb/utilities/security.py of the component File Upload. Such manipulation leads to server-side request forgery. The attack may be performed from remote. The exploit has been disclosed publicly and may be used. The name of the patch is 74d6f0fd4b630218519a700fbee1c05c7fd4b1ed. It is best practice to apply a patch to resolve this issue.

CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X