Plataforma
python
Componente
mindsdb
Corregido en
24.9.3
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la plataforma MindsDB. Esta falla permite a un atacante inyectar y ejecutar código JavaScript malicioso en el navegador de un usuario. La vulnerabilidad se manifiesta al enumerar elementos como ML Engines, bases de datos, proyectos o datasets que contengan código JavaScript arbitrario en la interfaz web de la plataforma. Afecta a todas las versiones de MindsDB hasta la 24.9.2.1, y se recomienda aplicar la actualización o implementar medidas de mitigación.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web, o incluso el control total de la cuenta del usuario. Un atacante podría, por ejemplo, robar credenciales de acceso a la plataforma MindsDB o realizar acciones en nombre del usuario afectado. El impacto es significativo, especialmente si la plataforma MindsDB se utiliza para gestionar datos sensibles o modelos de machine learning críticos.
Esta vulnerabilidad ha sido publicada el 2024-09-12. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La baja dificultad de explotación aumenta la probabilidad de que sea utilizada en ataques. No se ha añadido a la lista KEV de CISA al momento de esta redacción.
Organizations utilizing MindsDB for machine learning model management and deployment are at risk. This includes data scientists, machine learning engineers, and DevOps teams who interact with the MindsDB web UI. Specifically, those relying on older versions of MindsDB (≤24.9.2.1) are highly vulnerable.
• python / server:
import requests
from bs4 import BeautifulSoup
url = 'http://your-mindsdb-instance/ui/ml-engines'
response = requests.get(url)
if response.status_code == 200:
soup = BeautifulSoup(response.content, 'html.parser')
# Look for suspicious script tags or event handlers
for script in soup.find_all('script'):
if script.string and 'eval(' in script.string:
print(f'Potential XSS detected: {script.string}')• generic web:
curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'content-security-policy'• generic web:
curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'x-xss-protection'disclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a una versión de MindsDB que haya sido parcheada. La versión corregida es posterior a la 24.9.2.1. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la interfaz web. Implementar una política de seguridad de contenido (CSP) estricta puede ayudar a mitigar el riesgo al restringir las fuentes de JavaScript que el navegador puede ejecutar. Monitorear los registros de la aplicación en busca de patrones sospechosos de inyección de código también es crucial.
Actualice MindsDB a la última versión disponible. Esto solucionará la vulnerabilidad XSS. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-45856 is a critical Cross-Site Scripting (XSS) vulnerability affecting MindsDB versions up to 24.9.2.1, allowing attackers to execute JavaScript code within the web UI.
Yes, if you are using MindsDB version 24.9.2.1 or earlier, you are vulnerable to this XSS attack.
Upgrade to a patched version of MindsDB as soon as it becomes available. Until then, implement input validation and WAF rules.
While no public exploits are currently known, the vulnerability's criticality suggests a high likelihood of exploitation.
Refer to the official MindsDB security advisories on their website or GitHub repository for updates and mitigation guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.