PT-2024-27267 · Mlflow+1 · Mlflow+1
Publicado
2024-06-04
·
Atualizado
2024-06-08
·
CVE-2024-37052
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MLflow versões 1.1.0 e posteriores
Descrição
A vulnerabilidade permite a desserialização de dados não confiáveis, possibilitando que um modelo scikit-learn carregado de forma maliciosa execute código arbitrário no sistema do usuário final quando interagido com ele.
Recomendações
Para as versões 1.1.0 e posteriores do MLflow, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mlflow
Scikit-Learn