Plateforme
python
Composant
mlflow
Corrigé dans
2.9.3
Une vulnérabilité de traversal de chemin a été découverte dans le dépôt mlflow/mlflow. Cette faille permet à un attaquant d'exploiter une manipulation des paramètres d'URL, en particulier la partie 'params', en utilisant le caractère ';' pour injecter des séquences de traversal de chemin. Les versions affectées sont celles inférieures ou égales à 2.9.2. Une correction est disponible et il est recommandé de mettre à jour dès que possible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers et répertoires sensibles situés sur le serveur MLflow. L'attaquant peut potentiellement lire des informations confidentielles, modifier des fichiers ou même compromettre l'ensemble du serveur. La capacité à manipuler les paramètres d'URL ouvre la porte à des attaques de type 'data smuggling', où des données malveillantes sont injectées dans le processus MLflow, pouvant entraîner des exécutions de code non autorisées ou des modifications de modèles. Bien que le vecteur d'attaque soit basé sur l'URL, une configuration incorrecte du serveur web ou des permissions de fichiers mal définies peuvent amplifier l'impact de cette vulnérabilité.
Cette vulnérabilité a été rendue publique le 16 avril 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité de l'exploitation et de la nécessité d'une configuration spécifique du serveur. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Organizations deploying MLflow for machine learning model tracking and management are at risk, particularly those using older versions (≤2.9.2). Shared hosting environments where MLflow is deployed alongside other applications are also at increased risk, as a successful exploit could potentially compromise the entire host.
• python / mlflow:
import re
def check_mlflow_params(url):
match = re.search(r'params=(.*?)(&|$)', url)
if match:
params = match.group(1)
if ';' in params:
print(f"Potential path traversal detected in params: {params}")• generic web:
curl -I 'http://your-mlflow-server/some/endpoint?params=;../sensitive/file'Inspect the response headers and body for any unexpected file disclosures.
disclosure
Statut de l'Exploit
EPSS
0.31% (percentile 54%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour MLflow vers une version corrigée. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant l'accès aux fichiers et répertoires sensibles sur le serveur MLflow. Il est également recommandé de désactiver ou de restreindre l'utilisation des paramètres d'URL, en particulier la partie 'params', si cela est possible sans impacter la fonctionnalité de l'application. La configuration d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes contenant des séquences de traversal de chemin. Surveiller attentivement les journaux d'accès et d'erreurs du serveur web pour détecter toute activité suspecte.
Actualice la biblioteca mlflow a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-1593 is a path traversal vulnerability in MLflow versions 2.9.2 and earlier, allowing attackers to manipulate URL parameters to access unauthorized files.
You are affected if you are using MLflow version 2.9.2 or earlier. Check your MLflow version and upgrade as soon as a patch is available.
Upgrade to a patched version of MLflow. Until a patch is released, implement strict input validation on URL parameters and consider using a WAF.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests it could become a target.
Monitor the MLflow GitHub repository and official MLflow documentation for updates and security advisories related to CVE-2024-1593.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.