一、 漏洞 CVE-2025-49619 基础信息
漏洞信息
# N/A
## 漏洞概述
Skyvern 版本 0.1.85 及之前版本中存在 Jinja 运行时泄露漏洞,该漏洞位于 `sdk/workflow/models/block.py` 文件中。
## 影响版本
- Skyvern 0.1.85 及之前版本
## 漏洞细节
在 Skyvern 的 `sdk/workflow/models/block.py` 文件中,存在一个 Jinja 运行时泄露漏洞。攻击者可能利用该漏洞获取敏感信息。
## 影响
该漏洞可能导致敏感信息泄露,攻击者可能获取到不应该被公开的数据。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Skyvern through 0.1.85 is vulnerable to server-side template injection (SSTI) in the Prompt field of workflow blocks such as the Navigation v2 Block. Improper sanitization of Jinja2 template input allows authenticated users to inject crafted expressions that are evaluated on the server, leading to blind remote code execution (RCE).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Ikonomos Skyvern 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Ikonomos Skyvern是美国Ikonomos公司的一个软件。 Ikonomos Skyvern 0.1.85及之前版本存在安全漏洞,该漏洞源于sdk/workflow/models/block.py中存在Jinja运行时泄漏。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-49619 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | This script exploits CVE-2025-49619 in Skyvern to execute a reverse shell command. | https://github.com/cristibtz/CVE-2025-49619 | POC详情 |
三、漏洞 CVE-2025-49619 的情报信息
-
标题: fix jinja runtime leak (#2575) · Skyvern-AI/skyvern@db856cd · GitHub -- 🔗来源链接
标签:
-
-
标题: Skyvern 0.1.85 - Remote Code Execution (RCE) via SSTI - Multiple webapps Exploit -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-49619
四、漏洞 CVE-2025-49619 的评论
暂无评论