JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-002064 MindsDBは企業データから人工知能を構築するためのプラットフォームです。バージョン25.11.1より前のバージョンには、ファイルアップロードAPIに認証されていないパストラバーサルの脆弱性が存在していました。この脆弱性により、任意の呼び出し元がサーバーのファイルシステムから任意のファイルを読み取り、それをMindsDBのストレージに移動させることが可能であり、機密データが露出する恐れがありました。file.pyのPUTハンドラーは、リクエストボディがJSONでかつsource_typeが"url"でない場合に、ユーザー制御のデータを直接ファイルシステムのパスに連結します。マルチパートアップロードとURLソースのアップロードのみがサニタイズ処理の対象となっていますが、JSONアップロードにはclear_filenameや同等のチェックが一切施されていませんでした。この脆弱性はバージョン25.11.1で修正されました。 cpe:/a:mindsdb:mindsdb https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-002064.html Common Vulnerabilities and Exposures (CVE) CVE-2025-68472 https://www.cve.org/CVERecord?id=CVE-2025-68472 National Vulnerability Database (NVD) CVE-2025-68472 https://nvd.nist.gov/vuln/detail/CVE-2025-68472 GitHub Advisory Database Improper sanitation of filepath that leads to information disclosure and DOS in MindsDB Advisory mindsdb/mindsdb GitHub https://github.com/mindsdb/mindsdb/security/advisories/GHSA-qqhf-pm3j-96g7 JVNDB CWE-22 https://jvndb.jvn.jp/ja/cwe/CWE-22.html JVNDB CWE-36 https://cwe.mitre.org/data/definitions/36.html JVNDB CWE-23 https://cwe.mitre.org/data/definitions/23.html 2026-01-29T16:00:05+09:00 2026-01-29T16:00:05+09:00