PT-2024-21666 · Mlflow · Mlflow
Uriya Yavnieli
·
Publicado
2024-02-23
·
Atualizado
2025-01-22
·
CVE-2024-27133
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MLflow (versões afetadas não especificadas)
Descrição
A sanitização insuficiente no MLflow leva a um ataque XSS ao executar uma receita que utiliza um conjunto de dados não confiável. Esse problema pode resultar ainda em um RCE no lado do cliente quando a receita é executada no Jupyter Notebook. A vulnerabilidade decorre da falta de sanitização nos campos da tabela do conjunto de dados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mlflow