Plataforma
python
Componente
clearml-server
Corregido en
1.14.2
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el componente de servidor de API de ClearML, afectando a todas las versiones hasta la 1.14.1. Esta falla permite a un atacante remoto, mediante solicitudes HTML maliciosas, hacerse pasar por un usuario legítimo. El impacto potencial incluye el compromiso de espacios de trabajo y archivos confidenciales, la filtración de información sensible y el ataque a instancias de ClearML en redes aisladas.
La vulnerabilidad CSRF en ClearML permite a un atacante, sin necesidad de autenticación previa, ejecutar acciones en nombre de un usuario autenticado. Esto puede incluir la creación, modificación o eliminación de espacios de trabajo, el acceso a archivos confidenciales almacenados en la plataforma, y la ejecución de comandos arbitrarios dentro del contexto del usuario comprometido. Un atacante podría, por ejemplo, modificar la configuración de experimentos, robar datos de entrenamiento o incluso comprometer la integridad de los resultados de los modelos. La naturaleza de ClearML como plataforma de gestión de experimentos de machine learning implica que los datos afectados pueden ser altamente sensibles, incluyendo modelos entrenados, conjuntos de datos y metadatos de experimentos, lo que amplifica el impacto de esta vulnerabilidad.
Esta vulnerabilidad ha sido publicada públicamente el 6 de febrero de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad CSRF la hace relativamente fácil de explotar, lo que aumenta la probabilidad de que se aproveche en el futuro. Se recomienda a los usuarios de ClearML tomar medidas inmediatas para mitigar el riesgo.
Organizations utilizing ClearML for machine learning experiment tracking and management are at risk. This includes teams managing sensitive data within ClearML workspaces, particularly those operating within closed or isolated network environments. Users who have not implemented robust authentication and authorization controls are also at increased risk.
• python / server:
# Check for ClearML version
import requests
import json
url = 'http://your-clearml-server/api/v1/info'
try:
response = requests.get(url)
response.raise_for_status()
data = response.json()
version = data.get('version', 'Unknown')
print(f'ClearML Version: {version}')
if version and float(version) < 1.14.2:
print('VULNERABLE: ClearML version is less than 1.14.2')
else:
print('ClearML version is patched.')
except requests.exceptions.RequestException as e:
print(f'Error connecting to ClearML server: {e}')disclosure
Estado del Exploit
EPSS
0.42% (62% percentil)
Vector CVSS
La solución principal es actualizar a la versión 1.14.2 de ClearML, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación como la validación estricta de los tokens CSRF en todas las solicitudes de API. Implementar políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts puede ayudar a mitigar el riesgo. Además, se recomienda revisar y fortalecer las políticas de acceso a los espacios de trabajo y archivos, limitando los permisos a los usuarios que realmente los necesitan. Finalmente, monitorear los registros de la plataforma en busca de patrones de actividad sospechosa puede ayudar a detectar y responder a posibles ataques.
Actualice ClearML a la versión 1.14.2 o superior. Esta versión contiene una corrección para la vulnerabilidad CSRF. Consulte las notas de la versión y las instrucciones de actualización proporcionadas por Allegro AI.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-24593 is a critical cross-site request forgery (CSRF) vulnerability affecting ClearML versions 0.0 - 1.14.2, allowing attackers to impersonate users and compromise workspaces.
If you are running ClearML versions 0.0 through 1.14.1, you are affected by this vulnerability. Upgrade to version 1.14.2 or later to mitigate the risk.
The recommended fix is to upgrade to ClearML version 1.14.2 or later. Temporary workarounds include input validation and WAF implementation.
While no active exploitation campaigns have been publicly reported, the ease of exploitation associated with CSRF vulnerabilities suggests it is likely to be targeted.
Refer to the ClearML security advisory for detailed information and updates: [https://clear.ml/security/advisories/CVE-2024-24593](https://clear.ml/security/advisories/CVE-2024-24593)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.