Mage-AI 不安全的默认身份验证设置导致0day远程命令执行漏洞(CVE-2025-2129)

2025-03-28 11 0

Mage-AI 不安全的默认身份验证设置导致0day远程命令执行漏洞(CVE-2025-2129)插图

Mage-AI介绍:

Mage-AI 是一个创新的开源框架,旨在简化机器学习和深度学习模型的构建、训练和部署流程。 它提供了一种模块化、可扩展的方式来管理复杂的AI工作流,让用户能够更加高效地进行实验和迭代,同时保持代码的清晰性和可维护性。

漏洞概述:

在 Mage AI 0.9.75 中发现了一个漏洞。该漏洞已被归类为存在问题。这会影响未知部分。该操作会导致资源的默认初始化不安全。可以远程发起攻击。攻击的复杂性相当高。据称可利用性很困难。该漏洞已向公众披露,可能会被利用。目前仍怀疑该漏洞的真实存在。经过研究人员 7 个月的反复跟进,Mage AI 决定不将此问题视为有效的安全漏洞,并已确认他们不会解决此问题。

漏洞版本:

Mage AI 0.9.75

FOFA:

body="<title>Mage</title>" && icon_hash="-299058862"

环境搭建:

官方Github下载地址:

https://github.com/mage-ai/mage-ai

恰好最新版本就是0.9.75版本,可以直接使用docker pull 拉取最新版本镜像

docker pull mageai/mageai:latest

开启一个容器

docker run -p 6789:6789 --name mageai1 mageai/mageai:latest

Mage-AI 不安全的默认身份验证设置导致0day远程命令执行漏洞(CVE-2025-2129)插图1

启动之后,访问http://yourip:6789

Mage-AI 不安全的默认身份验证设置导致0day远程命令执行漏洞(CVE-2025-2129)插图2

当然根据官方安装文档

https://docs.mage.ai/p

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

AI Agent:功能、架构与安全风险
FlowiseAI 任意文件写入漏洞(CVE-2025–26319)
DrayTek再现未授权RCE漏洞:CVE-2024-12987复现分析
Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似
数据跨境 | 韩国数据安全与跨境合规实践
Java反序列化-CC1-TranformedMap链

发布评论