CVE-2026-27483

Nome do Software Vulnerável e Versões Afetadas Versões do MindsDB anteriores à 25.9.1.1

Descrição O MindsDB, uma plataforma para construção de inteligência artificial a partir de dados corporativos, possui uma falha de path traversal em sua interface /api/files. Um atacante autenticado pode explorar essa vulnerabilidade para obter execução remota de comandos. A vulnerabilidade reside no módulo "Upload File", especificamente no endpoint da API /api/files. O sistema não realiza verificações de segurança nos caminhos dos arquivos enviados, permitindo que atacantes utilizem sequências ../ no nome do arquivo para realizar path traversal. A operação de escrita do arquivo ocorre antes da filtragem do nome do arquivo, possibilitando que conteúdo arbitrário seja gravado em qualquer local do servidor. Um atacante pode sobrescrever arquivos executáveis existentes, potencialmente obtendo Execução Remota de Código (RCE) ao sobrescrever arquivos como /venv/lib/python3.10/site-packages/pip/ init .py e acionar sua execução por meio de outras funcionalidades do MindsDB, como a instalação de handlers.

Recomendações Atualize para a versão 25.9.1.1 ou posterior do MindsDB para corrigir esta vulnerabilidade.