PT-2024-31810 · Mindsdb · Mindsdb
Kasimir Schulz
+2
·
Publicado
2024-09-12
·
Atualizado
2024-09-16
·
CVE-2024-45853
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
MindsDB versões 23.10.2.0 e posteriores
Descrição:
O problema diz respeito à desserialização de dados não confiáveis na plataforma MindsDB. Isso permite que um modelo “interno” carregado de forma maliciosa execute código arbitrário no servidor quando utilizado para uma previsão.
Recomendações:
Para as versões 23.10.2.0 e posteriores, considere desativar a desserialização de dados não confiáveis até que um patch esteja disponível. Restrinja o acesso ao recurso de upload de modelos “inhouse” para minimizar o risco de exploração. Evite usar as versões afetadas para tarefas de previsão que envolvam modelos não confiáveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mindsdb