Plattform
java
Komponente
fedml
Behoben in
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
A Path Traversal vulnerability has been identified in FedML, affecting versions from 0.8.0 through 0.8.9. This flaw resides within the FileUtils.java component's MQTT Message Handler, allowing attackers to potentially access sensitive files outside of the intended directory. The vulnerability is remotely exploitable and a public proof-of-concept exists, making it a significant security concern. While the vendor has not responded to early disclosure attempts, mitigation strategies are available.
Eine Pfadüberschreitungs-Schwachstelle wurde in FedML-AI FedML bis zur Version 0.8.9 entdeckt. Diese Schwachstelle betrifft eine unbekannte Funktion innerhalb der Datei FileUtils.java des MQTT Message Handler-Komponenten. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er die Daten des Arguments 'dataSet' manipuliert, wodurch er möglicherweise auf Dateien und Verzeichnisse außerhalb des vorgesehenen Bereichs zugreifen kann. Die Schwachstelle wird als hoch eingestuft, da sie aus der Ferne ausgenutzt werden kann. Die öffentliche Veröffentlichung eines Exploits erhöht das Risiko von Angriffen erheblich. Der Anbieter wurde frühzeitig über diese Offenlegung informiert, hat aber nicht geantwortet, was die Bemühungen zur Abschwächung behindert.
Die Schwachstelle wird ausgenutzt, indem das Argument 'dataSet' innerhalb der MQTT Message Handler-Komponente in der Datei FileUtils.java manipuliert wird. Der öffentlich verfügbare Exploit ermöglicht es einem Remote-Angreifer, beliebige Dateien auf dem zugrunde liegenden Dateisystem zuzugreifen. Dies liegt an einer unzureichenden Validierung der Benutzereingabe. Die Remote-Natur des Exploits bedeutet, dass ein Angreifer keinen physischen Zugriff auf das System benötigt. Die öffentliche Verfügbarkeit des Exploits erhöht die Wahrscheinlichkeit von Exploitationsversuchen. Das Fehlen einer Reaktion des Anbieters verschärft die Situation, da keine offizielle Korrektur verfügbar ist.
Organizations utilizing FedML for machine learning or data processing, particularly those deploying it in cloud environments or shared hosting setups, are at significant risk. Environments with weak input validation or inadequate network segmentation are especially vulnerable.
• java / server:
find /path/to/fedml/ -name "FileUtils.java"• java / server:
ps aux | grep -i "FedML"• generic web:
curl -I http://your-fedml-server/../../../../etc/passwddisclosure
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
CVSS-Vektor
Angesichts der fehlenden Reaktion des Anbieters ist eine sofortige Abschwächung schwierig. Die wichtigste Empfehlung ist, auf eine korrigierte Version von FedML-AI zu aktualisieren, sobald eine verfügbar ist. In der Zwischenzeit sollten Sie strenge Zugriffskontrollen auf dem Server implementieren, der FedML-AI hostet, um den Zugriff auf sensible Dateien zu beschränken. Überwachen Sie die Systemprotokolle aktiv auf verdächtige Aktivitäten im Zusammenhang mit der Dateiverarbeitung. Die Netzwerksegmentierung kann das FedML-AI-System von anderen kritischen Ressourcen isolieren. Das Schweigen des Anbieters unterstreicht die Bedeutung robuster Incident-Response-Pläne.
Actualice a una versión corregida de FedML que solucione la vulnerabilidad de recorrido de directorios en el manejo de mensajes MQTT. Consulte la documentación del proveedor o los registros de cambios para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Eine Pfadüberschreitung ermöglicht es einem Angreifer, auf Dateien und Verzeichnisse außerhalb des vorgesehenen Bereichs zuzugreifen, indem er Sequenzen wie '..' im Dateipfad verwendet.
Implementieren Sie strenge Zugriffskontrollen, überwachen Sie die Systemprotokolle und ziehen Sie die Netzwerksegmentierung in Betracht.
Das Fehlen einer Reaktion des Anbieters ist besorgniserregend und behindert die Abschwächung. Erwägen Sie, den Anbieter direkt zu kontaktieren, um Ihre Bedenken zu äußern.
Ja, die öffentliche Verfügbarkeit des Exploits deutet darauf hin, dass sie relativ einfach auszunutzen ist.
Jedes System, das FedML-AI bis zur Version 0.8.9 ausführt, ist anfällig. Bewerten Sie Ihre Infrastruktur, um betroffene Instanzen zu identifizieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.