PT-2024-27271 · Lightgbm+2 · Lightgbm+2
Publicado
2024-06-04
·
Atualizado
2025-02-03
·
CVE-2024-37056
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MLflow versões 1.23.0 e posteriores
Descrição
A vulnerabilidade permite a desserialização de dados não confiáveis, possibilitando que um modelo LightGBM do scikit-learn carregado de forma maliciosa execute código arbitrário no sistema do usuário final quando houver interação com ele.
Recomendações
Para as versões 1.23.0 e posteriores do MLflow, considere restringir o upload e a interação de modelos LightGBM scikit-learn até que uma correção esteja disponível. Como solução temporária, restrinja o acesso ao recurso de upload de modelos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lightgbm
Mlflow
Scikit-Learn