CVE-2024-8859

Nome do Software Vulnerável e Versões Afetadas mlflow/mlflow versão 2.15.1

Descrição Existe um problema de travessia de caminho (path traversal) quando os usuários configuram e utilizam o serviço dbfs. A vulnerabilidade decorre da concatenação direta da URL no protocolo de arquivo, resultando em um problema de leitura arbitrária de arquivos. Isso ocorre porque apenas a parte do caminho da URL é verificada, enquanto outras partes, como consulta e parâmetros, não são tratadas. O problema é acionado quando o serviço dbfs é configurado e montado em um diretório local durante o uso.

Recomendações Para o mlflow/mlflow versão 2.15.1, considere desativar o serviço dbfs até que um patch esteja disponível para prevenir uma exploração potencial. Restrinja o acesso ao serviço dbfs para minimizar o risco de leitura arbitrária de arquivos. Evite usar o serviço dbfs com montagens de diretório local até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.