Plateforme
python
Composant
fedml
Corrigé dans
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
Une vulnérabilité de désérialisation non sécurisée a été identifiée dans FedML, affectant les versions de 0.8.0 à 0.8.9. Cette faille permet à un attaquant de manipuler la fonction sendMessage, conduisant à une désérialisation non sécurisée. L'exploitation peut être initiée à distance. No official patch available.
Une vulnérabilité de désérialisation a été identifiée dans FedML-AI FedML jusqu'à la version 0.8.9, spécifiquement dans la fonction sendMessage du fichier grpc_server.py du composant serveur gRPC. Cette vulnérabilité permet à un attaquant distant d'exécuter du code arbitraire sur le système affecté en envoyant des messages malveillants. La sévérité de la vulnérabilité est notée CVSS 7.3, ce qui indique un risque modérément élevé. Le manque de réponse du fournisseur aux notifications de divulgation anticipées aggrave la situation, laissant les utilisateurs exposés sans correctif officiel. Une exploitation réussie pourrait compromettre la confidentialité, l'intégrité et la disponibilité des données et des systèmes FedML.
La vulnérabilité réside dans la fonction sendMessage du serveur gRPC, permettant à un attaquant distant d'envoyer des messages spécialement conçus qui déclenchent la désérialisation d'objets malveillants. Le manque de validation des entrées dans la fonction sendMessage facilite l'exploitation. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur le serveur, accéder à des données sensibles ou même prendre le contrôle total du système. La nature distante de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système affecté.
Organizations utilizing FedML for machine learning tasks, particularly those deploying it in cloud environments or exposing it to external networks, are at significant risk. Environments with limited security controls or those relying on older, unpatched versions of FedML are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted.
• python / server:
import os
import subprocess
# Check for the vulnerable file
if os.path.exists('/path/to/fedml/grpc_server.py'): # Replace with actual path
try:
result = subprocess.run(['grep', '-i', 'sendMessage', '/path/to/fedml/grpc_server.py'], capture_output=True, text=True, check=True)
if 'sendMessage' in result.stdout:
print('Vulnerable file detected.')
else:
print('sendMessage function not found.')
except subprocess.CalledProcessError as e:
print(f'Error checking file: {e}')
else:
print('FedML not installed.')• generic web:
curl -I <fedml_grpc_endpoint> # Check for unusual headers or content types related to serializationdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
Étant donné que le fournisseur n'a fourni aucune solution, la mitigation immédiate consiste à éviter l'utilisation de FedML-AI FedML jusqu'à ce qu'une mise à jour soit publiée. Si l'utilisation de la plateforme est essentielle, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que l'isolement du réseau, la surveillance du trafic réseau à la recherche d'activités suspectes et l'application de politiques de sécurité strictes pour limiter l'accès aux ressources du système. Il est essentiel de maintenir les systèmes à jour avec les derniers correctifs de sécurité et de réaliser des audits de sécurité périodiques pour identifier et traiter les vulnérabilités potentielles. Envisagez de migrer vers une alternative sécurisée si possible.
Actualice a una versión de FedML posterior a la 0.8.9 para mitigar la vulnerabilidad de deserialización en el servidor gRPC. Revise el código para identificar y eliminar cualquier deserialización insegura. Implemente validación de entrada robusta para prevenir la inyección de datos maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La désérialisation est le processus de conversion de données stockées ou transmises dans un format que peut lire un programme. Une vulnérabilité de désérialisation se produit lorsqu'un programme désérialise des données non fiables sans validation appropriée, ce qui permet à un attaquant d'injecter du code malveillant.
Si vous utilisez FedML-AI FedML version 0.8.9 ou antérieure, vous êtes probablement affecté. Consultez la documentation FedML pour plus d'informations.
Mettez en œuvre des mesures d'atténuation telles que l'isolement du réseau et la surveillance du trafic réseau.
Oui, le fournisseur a été notifié, mais n'a pas encore répondu.
En fonction de vos besoins, il existe plusieurs alternatives à FedML. Faites des recherches et choisissez une solution qui répond à vos exigences de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.