В популярной векторной базе данных Milvus, широко используемой в генеративных искусственных интеллектах, обнаружена критическая уязвимость обхода аутентификации. Проблема, получившая идентификатор CVE-2025-64513, позволяет злоумышленникам получать полный административный доступ без предоставления учетных данных. Эксперты присвоили уязвимости высший балл 9.8 по шкале CVSS, что подчеркивает ее исключительную опасность.
Детали уязвимости
Уязвимость затрагивает компонент Milvus Proxy, отвечающий за обработку входящих HTTP-запросов. Согласно техническому анализу, система некорректно обрабатывает специальные заголовки, принимая пользовательские данные за доверенные внутренние учетные данные. Конкретно, проблема заключается в механизме проверки заголовка sourceId, где система выполняет base64-декодирование и сравнивает значение с жестко заданной константой.
Если значение заголовка соответствует внутреннему идентификатору, система полностью отключает проверки аутентификации, предполагая, что запрос поступил от доверенного компонента. Однако злоумышленник может легко сгенерировать корректное значение, закодировав в base64 строку "@@milvus-member@@" и добавив ее в запрос. Следовательно, атакующий получает возможность выполнять любые операции с базой данных без авторизации.
Под угрозой находятся версии Milvus с 2.4.0 по 2.4.24, с 2.5.0 по 2.5.21 и с 2.6.0 по 2.6.5. Эти релизы активно используются в продакшн-средах, что делает проблему особенно актуальной для организаций, работающих с технологиями искусственного интеллекта. После успешного обхода аутентификации злоумышленник может просматривать конфиденциальные данные, модифицировать содержимое баз и выполнять административные команды.
Исследователи безопасности уже разработали рабочее proof-of-concept подтверждение концепции, демонстрирующее эксплуатацию уязвимости. Эксперименты показывают, что обычные неавторизованные запросы отклоняются, однако при добавлении поддельного заголовка те же запросы успешно выполняются. В частности, атакующие могут получать список баз данных, информацию о состоянии системы и другую чувствительную информацию.
Основная проблема заключается в дизайне системы аутентификации, который предполагает абсолютное доверие к определенным HTTP-заголовкам. Такой подход создает ложное чувство безопасности, поскольку злоумышленник с сетевым доступом к экземпляру Milvus может легко подделать необходимые значения. Более того, простота проверки делает уязвимость особенно опасной.
Разработчики Milvus выпустили исправления, устраняющие фундаментальную проблему в логике аутентификации. Обновленные версии требуют прохождения стандартных процедур авторизации для всех запросов независимо от заголовков. Тем самым полностью исключается возможность обхода безопасности через манипуляцию HTTP-заголовками.
Для организаций, которые не могут немедленно применить обновления, рекомендуется реализовать строгую сетевую сегментацию и ограничить доступ к конечным точкам Milvus. Дополнительно можно настроить системы обнаружения вторжений IDS для мониторинга подозрительных запросов. Однако важно понимать, что эти меры обеспечивают лишь временную защиту.
Системные администраторы должны уделить особое внимание проверке версий используемого программного обеспечения. Регулярное обновление компонентов инфраструктуры остается ключевым элементом стратегии безопасности. В случае с Milvus критически важно перейти на защищенные версии, поскольку уязвимость позволяет полностью обойти все механизмы контроля доступа.
Векторные базы данных играют решающую роль в современном современном искусственном интеллекте, храня вложения и семантические представления данных. Компрометация такой системы может привести к утечке интеллектуальной собственности, нарушению конфиденциальности и серьезным бизнес-потерям. Следовательно, оперативное реагирование на подобные инциденты становится обязательным требованием для организаций, работающих с AI-технологиями.
Эксперты по кибербезопасности рекомендуют проводить регулярный аудит систем аутентификации в распределенных приложениях. Особенное внимание следует уделять механизмам, которые предполагают доверие между внутренними компонентами. Реализация принципа "никогда не доверяй, всегда проверяй" должна стать стандартом при проектировании современных систем.
В заключение стоит отметить, что уязвимость в Milvus демонстрирует классическую ошибку проектирования систем безопасности. Доверие к пользовательским данным без надлежащей проверки создает серьезные риски для всей инфраструктуры. Своевременное обновление и тщательный анализ архитектуры безопасности помогают предотвратить подобные инциденты в будущем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-64513
- https://github.com/milvus-io/milvus/security/advisories/GHSA-mhjq-8c7m-3f7p
- https://github.com/milvus-io/milvus/pull/45379
- https://github.com/milvus-io/milvus/pull/45383
- https://github.com/milvus-io/milvus/pull/45391
- https://helixguard.ai/blog/CVE-2025-64513
- https://github.com/B1ack4sh/Blackash-CVE-2025-64513
