PT-2024-28848 · Doccano · Doccano
Gian2Dchris
·
Publicado
2024-09-23
·
Atualizado
2024-09-26
·
CVE-2024-40441
CVSS v3.1
6.6
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Doccano – Ferramentas de anotação de código aberto para profissionais de aprendizado de máquina, versão 1.8.4
Doccano – Módulo Auto Labeling Pipeline para anotar documentos automaticamente, versão 0.1.23
Descrição
A vulnerabilidade permite que um invasor remoto obtenha privilégios elevados por meio do parâmetro
model attribs. Isso pode ser explorado por meio da manipulação de argumentos, representando um risco de ataque remoto.Recomendações
Para o Doccano, ferramentas de anotação de código aberto para profissionais de aprendizado de máquina, versão 1.8.4, atualize urgentemente o componente afetado para mitigar o risco.
Para o módulo Doccano Auto Labeling Pipeline para anotar um documento automaticamente, versão 0.1.23, atualize urgentemente o componente afetado para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao parâmetro
model attribs até que um patch esteja disponível.Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Doccano