PT-2024-21667 · Mlflow · Mlflow
Weichen Xu
+1
·
Publicado
2024-11-25
·
Atualizado
2024-11-27
·
CVE-2024-27134
CVSS v4.0
7.3
Alta
| Vetor | AV:L/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
MLflow (versões afetadas não especificadas)
Descrição
O problema diz respeito a permissões excessivas de diretório no MLflow, o que pode levar à escalada de privilégios locais ao usar
spark udf. Esse comportamento pode ser explorado por um invasor local para obter permissões elevadas por meio de um ataque do tipo Time-of-Check-to-Time-of-Use (ToCToU). O problema só é relevante quando a API spark udf() do MLflow é chamada.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
LPE
Incorrect Default Permissions
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mlflow