Plateforme
java
Composant
fedml
Corrigé dans
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
Une vulnérabilité de Path Traversal a été identifiée dans FedML, affectant les versions de 0.8.0 à 0.8.9. Cette faille, présente dans la fonction FileUtils.java du composant MQTT Message Handler, permet à un attaquant d'accéder à des fichiers sensibles en manipulant l'argument dataSet. L'exploitation est possible à distance et un exploit public a été divulgué, augmentant le risque d'attaques. Aucune solution de correctif n'a été fournie par le fournisseur.
Une vulnérabilité de traversée de chemin (path traversal) a été découverte dans FedML-AI FedML jusqu'à la version 0.8.9. Cette faille affecte une fonction inconnue à l'intérieur du fichier FileUtils.java du composant Gestionnaire de Messages MQTT. Un attaquant peut exploiter cette vulnérabilité en manipulant les données de l'argument 'dataSet', ce qui lui permettrait potentiellement d'accéder à des fichiers et des répertoires en dehors de la portée prévue. La vulnérabilité est classée comme de haute gravité en raison de sa capacité à être exploitée à distance. La publication d'un exploit augmente considérablement le risque d'attaques. Le fournisseur a été contacté en amont concernant cette divulgation, mais n'a pas répondu, ce qui entrave les efforts d'atténuation.
La vulnérabilité est exploitée en manipulant l'argument 'dataSet' à l'intérieur du composant Gestionnaire de Messages MQTT dans le fichier FileUtils.java. L'exploit publiquement disponible permet à un attaquant distant d'accéder à des fichiers arbitraires sur le système de fichiers sous-jacent. Cela est dû à une validation insuffisante des entrées utilisateur. La nature à distance de l'exploit signifie qu'un attaquant n'a pas besoin d'un accès physique au système. La disponibilité publique de l'exploit augmente la probabilité de tentatives d'exploitation. Le manque de réponse du fournisseur aggrave la situation, car aucune correction officielle n'est disponible.
Organizations utilizing FedML for machine learning or data processing, particularly those deploying it in cloud environments or shared hosting setups, are at significant risk. Environments with weak input validation or inadequate network segmentation are especially vulnerable.
• java / server:
find /path/to/fedml/ -name "FileUtils.java"• java / server:
ps aux | grep -i "FedML"• generic web:
curl -I http://your-fedml-server/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
Compte tenu du manque de réponse du fournisseur, l'atténuation immédiate est difficile. La recommandation principale est de mettre à niveau vers une version corrigée de FedML-AI dès qu'elle est disponible. En attendant, mettez en œuvre des contrôles d'accès stricts sur le serveur hébergeant FedML-AI pour limiter l'accès aux fichiers sensibles. Surveillez activement les journaux du système à la recherche d'une activité suspecte liée au traitement des fichiers. La segmentation du réseau peut isoler le système FedML-AI des autres ressources critiques. Le silence du fournisseur souligne l'importance de plans de réponse aux incidents robustes.
Actualice a una versión corregida de FedML que solucione la vulnerabilidad de recorrido de directorios en el manejo de mensajes MQTT. Consulte la documentación del proveedor o los registros de cambios para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La traversée de chemin permet à un attaquant d'accéder à des fichiers et des répertoires en dehors de la portée prévue en utilisant des séquences telles que '..' dans le chemin du fichier.
Mettez en œuvre des contrôles d'accès stricts, surveillez les journaux du système et envisagez la segmentation du réseau.
Le manque de réponse du fournisseur est préoccupant et entrave l'atténuation. Envisagez de contacter directement le fournisseur pour exprimer vos préoccupations.
Oui, la disponibilité publique de l'exploit suggère qu'elle est relativement facile à exploiter.
Tout système exécutant FedML-AI jusqu'à la version 0.8.9 est vulnérable. Évaluez votre infrastructure pour identifier les instances affectées.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.