CVE-2024-4460

zenml-io/zenml versão 0.56.3

Existe uma vulnerabilidade de negação de serviço devido ao tratamento inadequado de caracteres de avanço de linha ( ) nos nomes dos componentes. Quando um usuário com privilégios limitados adiciona um componente por meio do endpoint da API api/v1/workspaces/default/components com um nome contendo o caractere , isso leva a um consumo descontrolado de recursos. Isso faz com que os usuários não consigam adicionar novos componentes em determinadas categorias nem registrar novas pilhas pela interface do usuário, prejudicando a experiência do usuário e potencialmente tornando o Painel do ZenML inutilizável. O problema não afeta a adição de componentes pela interface do usuário da Web, pois os caracteres são escapados corretamente nesse contexto.

Para a versão 0.56.3 do zenml-io/zenml, como solução temporária, considere restringir o acesso ao endpoint da API api/v1/workspaces/default/components para impedir que usuários com privilégios limitados adicionem componentes com nomes contendo caracteres até que um patch esteja disponível. Evite usar o parâmetro name no endpoint da API afetado com valores que contenham caracteres . No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.