CVE-2025-66405: Kritische Sicherheitslücke in Portkey.ai Gateway
⚠️ CVE-Referenzen:
CVE-2025-66405
Zusammenfassung
In der KI-Gateway-Software Portkey.ai gab es vor Version 1.14.0 eine kritische Sicherheitslücke, die für Server-seitige Request Forgery (SSRF) Angriffe missbraucht werden konnte. Durch Manipulation des "x-portkey-custom-host" Headers konnte der Ziel-Server kontrolliert werden. Anwender sollten dringend auf die aktuelle Version 1.14.0 updaten, in der diese Schwachstelle behoben wurde.
Portkey.ai Gateway is a blazing fast AI Gateway with integrated guardrails. Prior to 1.14.0, the gateway determined the destination baseURL by prioritizing the value in the x-portkey-custom-host request header. The proxy route then appends the client-specified path to perform an external fetch. This can be maliciously used by users for SSRF attacks. This vulnerability is fixed in 1.14.0.
Quelle: app.opencve.io