-
09/04/2020
-
127
-
1.607 bài viết
Nguy cơ tấn công từ tệp đính kèm email: Nhiều hệ thống AI có thể bị ảnh hưởng
Lỗ hổng cực kỳ nghiêm trọng CVE-2025-64712 ảnh hưởng đến thư viện mã nguồn mở unstructured, một thành phần được sử dụng phổ biến trong các hệ thống xử lý dữ liệu “không cấu trúc” như email, PDF, tài liệu Word, hình ảnh… để chuyển đổi thành dữ liệu phục vụ phân tích, AI hoặc quy trình ETL. Với điểm CVSS 9,8, lỗ hổng cho thấy nguy cơ bị khai thác từ xa mà không cần xác thực hay tương tác từ phía người dùng.
CVE-2025-64712 xuất phát từ lỗi path traversal trong hàm partition_msg, chức năng dùng để xử lý file email Microsoft Outlook định dạng .MSG cùng các tệp đính kèm. Trong một số tình huống, nếu file .MSG chứa tệp đính kèm được đặt tên kèm chuỗi điều hướng thư mục như ../../, thư viện có thể ghép tên file này trực tiếp vào đường dẫn lưu trữ tạm mà không kiểm tra hoặc “làm sạch” dữ liệu đầu vào. Điều này cho phép kẻ tấn công khiến hệ thống ghi file ra ngoài thư mục dự kiến, tức ghi vào các vị trí tùy ý trên máy chủ.
Nguy cơ từ lỗi ghi file tùy ý là rất lớn. Tin tặc có thể lợi dụng để ghi đè file cấu hình, cài webshell vào thư mục ứng dụng, tạo hoặc chỉnh sửa cron job - cơ chế tự chạy theo lịch nhằm duy trì quyền truy cập, thậm chí tiến tới thực thi mã từ xa (RCE) và kiểm soát toàn bộ hệ thống nếu dịch vụ chạy với quyền cao. Đáng chú ý, do unstructured thường được tích hợp sâu trong các pipeline xử lý dữ liệu cho AI và ứng dụng doanh nghiệp, phạm vi ảnh hưởng có thể lan rộng và khó kiểm soát nếu không phát hiện sớm.
Theo thông tin công bố, lỗ hổng đã được vá trong phiên bản unstructured 0.18.18 với cơ chế xử lý đường dẫn tệp đính kèm được chỉnh sửa để loại bỏ các chuỗi điều hướng nguy hiểm. Các tổ chức đang sử dụng thư viện này nên cập nhật ngay, đồng thời rà soát chuỗi cung ứng phần mềm để xác định các hệ thống có liên quan, đặc biệt là các dịch vụ tiếp nhận tài liệu từ nguồn bên ngoài như email hoặc chức năng upload file. Với doanh nghiệp tại Việt Nam, đây cũng là lời cảnh báo rõ ràng về rủi ro từ thư viện mã nguồn mở trong hệ thống AI và nhu cầu triển khai kiểm soát phụ thuộc, vá lỗi nhanh và giám sát chặt dữ liệu đầu vào.
CVE-2025-64712 xuất phát từ lỗi path traversal trong hàm partition_msg, chức năng dùng để xử lý file email Microsoft Outlook định dạng .MSG cùng các tệp đính kèm. Trong một số tình huống, nếu file .MSG chứa tệp đính kèm được đặt tên kèm chuỗi điều hướng thư mục như ../../, thư viện có thể ghép tên file này trực tiếp vào đường dẫn lưu trữ tạm mà không kiểm tra hoặc “làm sạch” dữ liệu đầu vào. Điều này cho phép kẻ tấn công khiến hệ thống ghi file ra ngoài thư mục dự kiến, tức ghi vào các vị trí tùy ý trên máy chủ.
Nguy cơ từ lỗi ghi file tùy ý là rất lớn. Tin tặc có thể lợi dụng để ghi đè file cấu hình, cài webshell vào thư mục ứng dụng, tạo hoặc chỉnh sửa cron job - cơ chế tự chạy theo lịch nhằm duy trì quyền truy cập, thậm chí tiến tới thực thi mã từ xa (RCE) và kiểm soát toàn bộ hệ thống nếu dịch vụ chạy với quyền cao. Đáng chú ý, do unstructured thường được tích hợp sâu trong các pipeline xử lý dữ liệu cho AI và ứng dụng doanh nghiệp, phạm vi ảnh hưởng có thể lan rộng và khó kiểm soát nếu không phát hiện sớm.
Theo thông tin công bố, lỗ hổng đã được vá trong phiên bản unstructured 0.18.18 với cơ chế xử lý đường dẫn tệp đính kèm được chỉnh sửa để loại bỏ các chuỗi điều hướng nguy hiểm. Các tổ chức đang sử dụng thư viện này nên cập nhật ngay, đồng thời rà soát chuỗi cung ứng phần mềm để xác định các hệ thống có liên quan, đặc biệt là các dịch vụ tiếp nhận tài liệu từ nguồn bên ngoài như email hoặc chức năng upload file. Với doanh nghiệp tại Việt Nam, đây cũng là lời cảnh báo rõ ràng về rủi ro từ thư viện mã nguồn mở trong hệ thống AI và nhu cầu triển khai kiểm soát phụ thuộc, vá lỗi nhanh và giám sát chặt dữ liệu đầu vào.
Theo Cyber Press
Chỉnh sửa lần cuối: