PT-2024-27277 · Mlflow · Mlflow

Publicado

2024-06-04

·

Atualizado

2024-06-08

·

CVE-2024-37061

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 1.11.0 e posteriores da plataforma MLflow
Descrição
Pode ocorrer execução remota de código na plataforma MLflow, permitindo que um MLproject criado com intenção maliciosa execute código arbitrário no sistema de um usuário final quando executado, devido a entradas não filtradas.
Recomendações
Para as versões 1.11.0 e posteriores, considere desativar a execução de MLprojects até que um patch esteja disponível para impedir a execução remota de código.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

RCE

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-94

Identificadores relacionados

BIT-MLFLOW-2024-37061
CVE-2024-37061
GHSA-PQCV-QW2R-R859

Produtos afetados

Mlflow