一、 漏洞 CVE-2025-4515 基础信息
漏洞信息
# Zylon PrivateGPT settings.yaml 跨域策略问题
## 概述
该漏洞存在于Zylon PrivateGPT中,版本号0.6.2及以下。攻击者可以通过操纵`settings.yaml`文件中的`allow_origins`参数,导致跨域策略过于宽松,允许不受信任的域名访问。
## 影响版本
- Zylon PrivateGPT 版本 0.6.2 及以下
## 细节
- **文件**: `settings.yaml`
- **参数**: `allow_origins`
- **漏洞类型**: Cross-Domain Policy
- **攻击方式**: 远程攻击
## 影响
- 该漏洞已公开并可能被利用。
- 厂商已被告知但未作出回应。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-4515 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-4515 的情报信息
-
标题: CORS Misconfiguration Vulnerability Leading to Sensitive Information Leak in PrivateGPT · GitHub -- 🔗来源链接
标签: exploit
神龙速读
-
-
标题: CVE-2025-4515 Zylon PrivateGPT settings.yaml cross-domain policy -- 🔗来源链接
标签: vdb-entry technical-description
神龙速读
-
标题: Submit #564451: PrivateGPT 0.6.2 CWE-942: Permissive Cross-domain Policy with Untrusted Domains -- 🔗来源链接
标签: third-party-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-4515