CVE-2025-6920

Nome do Software Vulnerável e Versões Afetadas: ai-inference-server (versões afetadas não especificadas)

Descrição: Foi encontrada uma falha no mecanismo de aplicação de autenticação de uma API de inferência de modelo. O problema afeta os endpoints "/v1/*", onde a validação da chave de API é esperada, mas não é devidamente aplicada, particularmente no endpoint "POST /invocations". Isso resulta em um bypass de autenticação, permitindo que usuários não autorizados acessem endpoints protegidos e potencialmente expondo funcionalidades sensíveis ou permitindo acesso não intencional a recursos de backend.

Recomendações: Como medida temporária, considere desativar o endpoint "POST /invocations" até que um patch esteja disponível. Restrinja o acesso aos endpoints "/v1/*" para minimizar o risco de exploração. Evite usar o ai-inference-server até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.