प्लेटफ़ॉर्म
python
घटक
mlflow
में ठीक किया गया
2.9.3
MLflow में एक पथ पारगमन भेद्यता पाई गई है, जो संस्करण 2.9.2 और उससे पहले के संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को artifact_location पैरामीटर के URI में # फ़्रैगमेंट का उपयोग करके सर्वर पर मनमाने फ़ाइलों को पढ़ने की अनुमति देती है। इससे संवेदनशील डेटा का खुलासा हो सकता है और सिस्टम की सुरक्षा से समझौता हो सकता है। MLflow को नवीनतम संस्करण में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने फ़ाइलों तक पहुंच प्राप्त करने की अनुमति देती है, जिससे संवेदनशील डेटा, कॉन्फ़िगरेशन फ़ाइलें या अन्य महत्वपूर्ण जानकारी का खुलासा हो सकता है। हमलावर सिस्टम के भीतर आगे बढ़ने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए इस एक्सेस का उपयोग कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां MLflow का उपयोग संवेदनशील डेटा को संसाधित करने या संग्रहीत करने के लिए किया जाता है। यह CVE-2023-6909 के समान है, लेकिन URI के एक अलग घटक का उपयोग करता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए भविष्य में ऐसा होने की संभावना है। सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता और सार्वजनिक रूप से उपलब्ध जानकारी के कारण, इसका शोषण होने का जोखिम है।
Organizations deploying MLflow for machine learning model tracking and management are at risk. This includes teams using MLflow in production environments, particularly those with custom configurations or integrations that might not be fully aware of the vulnerability's implications. Shared hosting environments where multiple users share the same MLflow instance are also at increased risk.
• python / mlflow: Inspect MLflow server logs for requests containing # in the artifact_location parameter.
# Example: Search for log entries containing '#'
with open('mlflow.log', 'r') as f:
for line in f:
if '#' in line:
print(line)• generic web: Monitor web server access logs for requests to MLflow endpoints with unusual or unexpected characters in the artifact_location parameter.
• generic web: Check for unexpected files appearing in the MLflow artifact storage directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.21% (43% शतमक)
CISA SSVC
CVSS वेक्टर
MLflow को संस्करण 2.9.3 या बाद के संस्करण में अपडेट करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी शमन उपाय के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके # फ़्रैगमेंट वाले अनुरोधों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप MLflow के कॉन्फ़िगरेशन को सख्त करके और फ़ाइल एक्सेस प्रतिबंधों को लागू करके जोखिम को कम कर सकते हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइलों तक अनधिकृत पहुंच के लिए सिस्टम की जांच करें।
Actualice la biblioteca mlflow a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Consulte las notas de la versión para obtener más detalles sobre la actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-1594 MLflow में एक भेद्यता है जो हमलावरों को सर्वर पर मनमाना फ़ाइलों को पढ़ने की अनुमति देती है, artifact_location पैरामीटर के URI में # का उपयोग करके।
यदि आप MLflow के संस्करण 2.9.2 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
MLflow को संस्करण 2.9.3 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके # फ़्रैगमेंट वाले अनुरोधों को ब्लॉक करें।
सक्रिय शोषण की जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता के कारण, इसका शोषण होने का जोखिम है।
आधिकारिक MLflow सलाहकार के लिए MLflow सुरक्षा घोषणाओं की जांच करें: [https://mlflow.org/security](https://mlflow.org/security)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।