PT-2024-27274 · Mlflow+1 · Mlflow+1
Publicado
2024-06-04
·
Atualizado
2024-06-08
·
CVE-2024-37059
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MLflow versões 0.5.0 e posteriores
Descrição
A vulnerabilidade permite a desserialização de dados não confiáveis, possibilitando que um modelo PyTorch carregado de forma maliciosa execute código arbitrário no sistema do usuário final quando interagido.
Recomendações
Para as versões 0.5.0 e posteriores do MLflow, considere restringir o upload e a interação de modelos PyTorch provenientes de fontes não confiáveis até que uma correção esteja disponível.
Como solução alternativa temporária, considere desativar a desserialização de dados não confiáveis na plataforma MLflow para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mlflow
Pytorch