HIGHCVE-2024-1483CVSS 7.5

mlflow पाथ ट्रावर्सल (Path Traversal) भेद्यता

प्लेटफ़ॉर्म

python

घटक

mlflow

में ठीक किया गया

2.12.1

AI Confidence: highNVDEPSS 77.2%समीक्षित: मई 2026

NVD पर देखें

सहेजें

mlflow में एक पाथ ट्रैवर्सल भेद्यता पाई गई है, जो हमलावरों को सर्वर पर मनमाने फ़ाइलों तक पहुँचने की अनुमति देती है। यह भेद्यता mlflow के संस्करण 2.9.2 या उससे कम को प्रभावित करती है। विशेष रूप से तैयार HTTP POST अनुरोधों के माध्यम से, हमलावर 'artifact_location' और 'source' मापदंडों का उपयोग करके सर्वर की निर्देशिका संरचना को पार कर सकते हैं। 2.12.1 में अपग्रेड करके या उचित इनपुट सत्यापन लागू करके इस भेद्यता को ठीक किया जा सकता है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील डेटा तक पहुँचने की अनुमति दे सकती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य गोपनीय जानकारी शामिल हैं। हमलावर सर्वर पर मनमाना कोड भी निष्पादित कर सकते हैं यदि उन्हें ऐसा करने की अनुमति है। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता और सेवा में व्यवधान हो सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां mlflow का उपयोग संवेदनशील डेटा को संग्रहीत करने या संसाधित करने के लिए किया जाता है। इस भेद्यता का शोषण करने के लिए हमलावरों को mlflow सर्वर तक पहुँच की आवश्यकता होती है और HTTP POST अनुरोध भेजने में सक्षम होना चाहिए।

शोषण संदर्भ

CVE-2024-1483 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV में जोड़ा गया है, जो इसके संभावित जोखिम को दर्शाता है। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इसका शोषण करना आसान बनाते हैं।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing MLflow for machine learning model tracking and management, particularly those running versions 2.9.2 or earlier, are at risk. Shared hosting environments where multiple users share the same MLflow instance are especially vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.

पहचान के चरणअनुवाद हो रहा है…

• python / mlflow:

import requests

url = 'http://your-mlflow-server/tracking/api/v2/artifacts'
headers = {'Content-Type': 'application/json'}
payload = {
    'artifact_location': '../sensitive_file.txt#',
    'source': 'local'
}
response = requests.post(url, headers=headers, json=payload)
print(response.status_code, response.text)

• linux / server: journalctl filters for HTTP POST requests to /tracking/api/v2/artifacts with unusual parameters. • generic web: Check access/error logs for HTTP POST requests to /tracking/api/v2/artifacts containing artifact_location or source parameters with '../' sequences.

हमले की समयरेखा

2024-04-16Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

77.15% (99% शतमक)

CISA SSVC

शोषणpoc

स्वचालनीयyes

तकनीकी प्रभावpartial

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction: कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope: अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality: उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity: कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability: कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकmlflow

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

unspecified – latest—

—2.12.1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

आरक्षित2024-02-13
प्रकाशित2024-04-16
संशोधित2025-02-04
EPSS अद्यतन2026-04-02

प्रकाशन के 1 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2024-1483 को कम करने के लिए, mlflow को संस्करण 2.12.1 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, सर्वर-साइड इनपुट सत्यापन लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि 'artifact_location' और 'source' मापदंडों में प्रदान किए गए पथ मान्य हैं और सर्वर की रूट निर्देशिका से बाहर नहीं जाते हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) को भी कॉन्फ़िगर किया जा सकता है ताकि पाथ ट्रैवर्सल हमलों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, सर्वर पर मनमाना फ़ाइलों तक पहुँचने का प्रयास करके।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la biblioteca mlflow a una versión posterior a la 2.9.2. Esto solucionará la vulnerabilidad de path traversal. Puede actualizar usando `pip install mlflow --upgrade`.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2024-1483 — पाथ ट्रैवर्सल mlflow में क्या है?

CVE-2024-1483 एक पाथ ट्रैवर्सल भेद्यता है जो हमलावरों को mlflow सर्वर पर मनमाना फ़ाइलों तक पहुँचने की अनुमति देती है। यह mlflow के संस्करण 2.9.2 या उससे कम को प्रभावित करता है।

क्या मैं CVE-2024-1483 से mlflow में प्रभावित हूँ?

यदि आप mlflow के संस्करण 2.9.2 या उससे कम चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2024-1483 से mlflow को कैसे ठीक करूँ?

CVE-2024-1483 को ठीक करने के लिए, mlflow को संस्करण 2.12.1 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2024-1483 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2024-1483 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण किया जा सकता है।

मैं CVE-2024-1483 के लिए आधिकारिक mlflow सलाहकार कहाँ पा सकता हूँ?

आप आधिकारिक mlflow सलाहकार यहां पा सकते हैं: [mlflow advisory link - replace with actual link]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें