Plataforma
python
Componente
ml-logger
Corregido en
255.0.1
Se ha identificado una vulnerabilidad de Path Traversal en ml-logger, específicamente en la función loghandler del archivo mllogger/server.py, hasta la versión acf255bade5be6ad88d90735c8367b28cbe3a743. Esta manipulación del argumento 'File' permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo la confidencialidad del sistema. La versión afectada no se especifica debido al modelo de lanzamientos continuos del producto, pero la actualización a la versión 255.0.1 soluciona la vulnerabilidad.
La vulnerabilidad de Path Traversal en ml-logger permite a un atacante remoto leer archivos arbitrarios en el sistema donde se ejecuta el software. Esto podría incluir archivos de configuración, claves de API, datos sensibles o incluso código fuente. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, comprometer la integridad del sistema o incluso ejecutar código malicioso. Dada la disponibilidad pública de un exploit, el riesgo de explotación es significativo. La falta de información detallada sobre las versiones afectadas dificulta la evaluación precisa del impacto, pero la naturaleza de la vulnerabilidad implica un alto riesgo de compromiso.
Esta vulnerabilidad tiene un exploit público disponible, lo que aumenta significativamente el riesgo de explotación. Aunque no se ha confirmado la explotación activa en entornos reales, la disponibilidad del exploit sugiere que es probable que se utilice en ataques. La vulnerabilidad ha sido publicada el 2025-09-25. La severidad se considera ALTA debido a la facilidad de explotación y el potencial impacto.
Organizations deploying ml-logger in production environments, particularly those handling sensitive data, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable. Shared hosting environments using ml-logger are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u ml-logger -g 'path traversal'• generic web:
curl -I <ml-logger-endpoint> | grep -i 'path traversal'disclosure
poc
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-10951 es actualizar a la versión 255.0.1 de ml-logger. Si la actualización no es inmediatamente posible, considere implementar controles de acceso más estrictos en el directorio donde se ejecuta ml-logger para limitar el acceso a archivos sensibles. Además, se recomienda monitorear los registros del sistema en busca de intentos de acceso no autorizados a archivos. Implementar un Web Application Firewall (WAF) con reglas que bloqueen solicitudes con secuencias de caracteres de path traversal (../) puede proporcionar una capa adicional de protección. Después de la actualización, verifique que la función log_handler no permita el acceso a archivos fuera del directorio esperado.
Actualice la biblioteca ml-logger a una versión posterior a acf255bade5be6ad88d90735c8367b28cbe3a743. Si no hay una versión disponible, revise el código de la función log_handler en server.py y corrija la vulnerabilidad de path traversal, validando y sanitizando la entrada del argumento File.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10951 is a Path Traversal vulnerability affecting geyang ml-logger versions up to acf255bade5be6ad88d90735c8367b28cbe3a743, allowing attackers to access arbitrary files remotely.
If you are using ml-logger versions prior to 255.0.1, you are potentially affected by this vulnerability. Check your current version against the affected range.
Upgrade to ml-logger version 255.0.1 or later to address this vulnerability. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
A public proof-of-concept exists, indicating a high probability of active exploitation. Prioritize remediation to mitigate the risk.
Refer to the geyang ml-logger project's release notes or security advisories for the official announcement and details regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.