Cognita CORS misconfiguration in backend API server 漏洞信息(CVE-2025-27518)

一、漏洞 CVE-2025-27518 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Cognita 后端 API 服务器中的 CORS 配置错误

来源：AIGC 神龙大模型

漏洞描述信息

Cognita是由TrueFoundry开发的一款用于构建模块化、开源生产应用的检索增强生成(Retrieval Augmented Generation, RAG)框架。Cognita后端服务器存在不安全的CORS配置，允许任意网站向应用程序发送跨站请求。该漏洞已在提交75079c3d3cf376381489b9a82ee46c69024e1a15中得到修复。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：AIGC 神龙大模型

漏洞标题

Cognita CORS misconfiguration in backend API server

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Cognita is a RAG (Retrieval Augmented Generation) Framework for building modular, open source applications for production by TrueFoundry. An insecure CORS configuration in the Cognita backend server allows arbitrary websites to send cross site requests to the application. This vulnerability is fixed in commit 75079c3d3cf376381489b9a82ee46c69024e1a15.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-27518 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-27518 的情报信息

标题： Allow configuring cors settings by chiragjn · Pull Request #424 · truefoundry/cognita · GitHub -- 🔗来源链接

标签： x_refsource_MISC
标题： GHSL-2024-193_GHSL-2024-194: Zero click RCE vulnerability in Cognita | GitHub Security Lab -- 🔗来源链接

标签： x_refsource_CONFIRM
标题： Merge pull request #424 from truefoundry/cj_configurable_cors · truefoundry/cognita@75079c3 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-27518

一、 漏洞 CVE-2025-27518 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-27518 的公开POC

三、漏洞 CVE-2025-27518 的情报信息

一、漏洞 CVE-2025-27518 基础信息