PT-2024-4085 · Mlflow+1 · Mlflow+1
Uriya Yavnieli
·
Publicado
2024-02-23
·
Atualizado
2025-01-22
·
CVE-2024-27132
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do MLflow anteriores à 2.4.1
Descrição
O problema decorre de uma sanitização insuficiente no MLflow, levando a um ataque de script entre sites (XSS) ao executar uma receita não confiável. Isso pode evoluir para uma execução remota de código (RCE) no lado do cliente ao executar a receita via Jupyter Notebook. A vulnerabilidade se deve à falta de sanitização das variáveis de modelo.
Recomendações
Para se proteger contra a execução remota de código, atualize para a versão 2.4.1. Como solução temporária, considere restringir o uso de receitas não confiáveis no Jupyter Notebook até que o problema seja resolvido. Evite executar receitas não confiáveis para minimizar o risco de exploração.
Exploit
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jupyter Notebook
Mlflow