Plateforme
python
Composant
ml-logger
Corrigé dans
255.0.1
Une vulnérabilité de type Path Traversal a été découverte dans ml-logger, affectant les versions inférieures ou égales à acf255bade5be6ad88d90735c8367b28cbe3a743. Cette faille, présente dans la fonction loghandler du fichier mllogger/server.py, permet une manipulation de l'argument File, ouvrant la voie à une traversée de chemin. L'exploitation peut être effectuée à distance et un proof-of-concept est publiquement disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le système, potentiellement contenant des informations sensibles telles que des clés API, des mots de passe ou des données de configuration. En accédant à ces fichiers, l'attaquant pourrait compromettre la confidentialité et l'intégrité du système. La possibilité d'exploitation à distance augmente considérablement la surface d'attaque et le risque de compromission. Le fait qu'un proof-of-concept soit publiquement disponible rend l'exploitation plus accessible et augmente la probabilité d'attaques.
Cette vulnérabilité est activement suivie et un proof-of-concept est publiquement disponible, ce qui augmente le risque d'exploitation. Bien que l'ajout au KEV n'ait pas encore été confirmé, la disponibilité d'un PoC suggère une probabilité d'exploitation élevée. La publication de la vulnérabilité a eu lieu le 2025-09-25.
Organizations deploying ml-logger in production environments, particularly those handling sensitive data, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable. Shared hosting environments using ml-logger are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u ml-logger -g 'path traversal'• generic web:
curl -I <ml-logger-endpoint> | grep -i 'path traversal'disclosure
poc
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ml-logger vers la version 255.0.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au fichier ml_logger/server.py ou de mettre en place des contrôles d'accès stricts pour empêcher la manipulation de l'argument File. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les tentatives d'exploitation. Surveillez les journaux du serveur pour détecter des tentatives de traversée de chemin suspectes.
Actualice la biblioteca ml-logger a una versión posterior a acf255bade5be6ad88d90735c8367b28cbe3a743. Si no hay una versión disponible, revise el código de la función log_handler en server.py y corrija la vulnerabilidad de path traversal, validando y sanitizando la entrada del argumento File.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-10951 is a Path Traversal vulnerability affecting geyang ml-logger versions up to acf255bade5be6ad88d90735c8367b28cbe3a743, allowing attackers to access arbitrary files remotely.
If you are using ml-logger versions prior to 255.0.1, you are potentially affected by this vulnerability. Check your current version against the affected range.
Upgrade to ml-logger version 255.0.1 or later to address this vulnerability. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
A public proof-of-concept exists, indicating a high probability of active exploitation. Prioritize remediation to mitigate the risk.
Refer to the geyang ml-logger project's release notes or security advisories for the official announcement and details regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.