PT-2024-20475 · Allegro Ai · Clearml
Publicado
2024-02-06
·
Atualizado
2024-02-15
·
CVE-2024-24593
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da plataforma ClearML da Allegro AI anteriores à 1.14.1
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que um invasor remoto se faça passar por um usuário enviando solicitações de API por meio de HTML criado de forma maliciosa. Isso pode levar ao comprometimento de espaços de trabalho e arquivos confidenciais, ao vazamento de informações sensíveis e ao ataque a instâncias da plataforma ClearML dentro de redes fechadas.
Recomendações
Para versões anteriores à 1.14.1, atualize para a versão 1.14.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente do servidor API para minimizar o risco de exploração. Além disso, tenha cuidado ao clicar em links ou acessar conteúdo HTML de fontes não confiáveis para evitar possíveis ataques CSRF.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clearml