Plateforme
other
Composant
clearml-enterprise-server
Corrigé dans
3.22.6
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans la fonctionnalité de téléversement de jeux de données de ClearML Enterprise Server. Cette faille permet à un attaquant d'injecter du code HTML arbitraire via une requête HTTP spécialement conçue. Elle affecte les versions 3.22.5-1533 de ClearML Enterprise Server et a été corrigée dans la version 3.22.6.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript malveillant dans le contexte du navigateur d'un utilisateur authentifié. Cela peut conduire au vol de cookies de session, à l'usurpation d'identité, à la redirection vers des sites web malveillants, ou à la modification du contenu de la page web affichée. L'attaquant pourrait potentiellement compromettre l'intégrité des données et la confidentialité des utilisateurs de ClearML Enterprise Server. Le risque est amplifié si ClearML est utilisé pour gérer des données sensibles ou des informations confidentielles.
Cette vulnérabilité a été rendue publique le 6 février 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la gravité élevée (CVSS 9) indique un risque significatif. Il n'y a pas d'entrée dans le KEV (Known Exploited Vulnerabilities) à ce jour. Des preuves de concept (PoC) pourraient être publiés, augmentant le risque d'exploitation.
Organizations that rely on ClearML Enterprise Server for machine learning experiment tracking and management are at risk. This includes data science teams, DevOps engineers, and anyone responsible for managing ClearML infrastructure. Specifically, deployments using older versions (3.22.5-1533) are highly vulnerable.
• generic web: Use curl to test the dataset upload endpoint with a simple XSS payload (e.g., `<script>alert(1)</script>). Check the response for the alert box.
curl -X POST -d '<script>alert(1)</script>' <dataset_upload_url>• generic web: Examine access and error logs for requests containing suspicious HTML tags or JavaScript code related to dataset uploads. • other: Monitor ClearML Enterprise Server logs for unusual activity, specifically related to dataset uploads and user sessions. Look for unexpected JavaScript execution or redirection attempts.
disclosure
Statut de l'Exploit
EPSS
0.64% (percentile 70%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour ClearML Enterprise Server vers la version 3.22.6, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures de protection temporaires. Bien qu'il n'existe pas de correctif immédiat, une validation stricte des entrées utilisateur, en particulier lors du téléversement de jeux de données, peut aider à atténuer le risque. Surveillez les journaux d'accès et d'erreurs pour détecter des tentatives d'injection de code malveillant. Des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes contenant des balises HTML suspectes.
Mettez à jour ClearML Enterprise Server vers une version ultérieure à 3.22.5-1533 qui a corrigé la vulnérabilité XSS. Consultez les notes de version ou le site web du fournisseur pour plus d'informations sur la mise à jour et les corrections incluses. Appliquez les mesures de sécurité recommandées par ClearML pour atténuer les risques de XSS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-39272 is a critical Cross-Site Scripting (XSS) vulnerability in ClearML Enterprise Server versions 3.22.5-1533, allowing attackers to inject malicious HTML code.
If you are running ClearML Enterprise Server version 3.22.5-1533, you are vulnerable to this XSS attack. Upgrade to 3.22.6 or later to mitigate the risk.
The recommended fix is to upgrade to ClearML Enterprise Server version 3.22.6 or a later version. Input validation and WAF rules can provide temporary protection.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a potential target. Monitor your systems closely.
Refer to the ClearML security advisory for detailed information and updates: [https://clearml.com/security/advisories](https://clearml.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.