CVE-2025-67819

Опубликовано: 12 дек. 2025

Источник: nvd

CVSS3: 4.9

EPSS Низкий

Описание

An issue was discovered in Weaviate OSS before 1.33.4. Due to a lack of validation of the fileName field in the transfer logic, an attacker who can call the GetFile method while a shard is in the "Pause file activity" state and the FileReplicationService is reachable can read arbitrary files accessible to the service process.

Ссылки

https://github.com/weaviate/weaviate
Product
https://weaviate.io/blog/weaviate-security-release-november-2025
Release Notes

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:weaviate:weaviate:*:*:*:*:*:*:*:*

Версия от 1.30.0 (включая) до 1.30.19 (включая)

cpe:2.3:a:weaviate:weaviate:*:*:*:*:*:*:*:*

Версия от 1.31.0 (включая) до 1.31.18 (включая)

cpe:2.3:a:weaviate:weaviate:*:*:*:*:*:*:*:*

Версия от 1.32.0 (включая) до 1.32.15 (включая)

cpe:2.3:a:weaviate:weaviate:*:*:*:*:*:*:*:*

Версия от 1.33.0 (включая) до 1.33.3 (включая)

EPSS

Процентиль: 24%

0.00079

Низкий

4.9 Medium

CVSS3

Дефекты

CWE-22

Связанные уязвимости

GHSA-hmmh-292h-3364

github

около 2 месяцев назад

Weaviate OSS has path traversal vulnerability via the Shard Movement API

EPSS

Процентиль: 24%

0.00079

Низкий

4.9 Medium

CVSS3

Дефекты

CWE-22