प्लेटफ़ॉर्म
python
घटक
vertaai-modeldb
vertaai/modeldb में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता की पहचान की गई है, जो फ़ाइल अपलोड कार्यक्षमता में असुरक्षित फ़ाइल पथों के कारण होती है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को सिस्टम पर लिखने की अनुमति देती है, जिससे संभावित रूप से गंभीर परिणाम हो सकते हैं, खासकर जब एप्लिकेशन डॉकर के बाहर चलाया जाता है। यह भेद्यता vertaai/modeldb के सभी संस्करणों को प्रभावित करती है। नवीनतम संस्करण में अपडेट करके या शमन रणनीतियों को लागू करके इस भेद्यता को ठीक किया जा सकता है।
यह भेद्यता हमलावरों को vertaai/modeldb एप्लिकेशन के फ़ाइल सिस्टम पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। एक हमलावर 'artifact_path' पैरामीटर में हेरफेर करके महत्वपूर्ण कॉन्फ़िगरेशन फ़ाइलों को ओवरराइट कर सकता है, जिससे एप्लिकेशन के व्यवहार को नियंत्रित किया जा सकता है या एप्लिकेशन को पूरी तरह से समझौता किया जा सकता है। विशेष रूप से, यदि एप्लिकेशन डॉकर के बाहर चलाया जाता है, तो यह भेद्यता RCE का कारण बन सकती है। एक सफल शोषण से डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। इस भेद्यता का संभावित प्रभाव व्यापक है, क्योंकि यह एप्लिकेशन के सभी पहलुओं को प्रभावित कर सकता है।
CVE-2024-1961 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी उच्च CVSS स्कोर (8.8) इंगित करती है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, यह संभव है कि हमलावर इसका फायदा उठा सकते हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो इसके संभावित जोखिम को उजागर करती है। इस भेद्यता के लिए सक्रिय अभियान की कोई जानकारी नहीं है।
Organizations deploying vertaai/modeldb outside of Docker containers are at the highest risk. Environments with weak file access controls or inadequate input validation are also particularly vulnerable. Development environments and testing systems running vertaai/modeldb should be prioritized for patching.
• python / server:
find / -name 'NFSController.java' -o -name 'NFSService.java' 2>/dev/null• python / server:
ps aux | grep -i modeldb• generic web: Inspect file upload endpoints for the presence of the 'artifact_path' parameter. Monitor access logs for requests containing unusual or absolute file paths.
disclosure
एक्सप्लॉइट स्थिति
EPSS
4.97% (90% शतमक)
CVSS वेक्टर
vertaai/modeldb में CVE-2024-1961 को कम करने के लिए, सबसे प्रभावी उपाय एप्लिकेशन को नवीनतम संस्करण में अपडेट करना है जिसमें भेद्यता को ठीक किया गया है। यदि तत्काल अपडेट संभव नहीं है, तो फ़ाइल अपलोड कार्यक्षमता के लिए इनपुट सत्यापन और सैनिटाइजेशन को मजबूत करके एक अस्थायी समाधान लागू किया जा सकता है। सुनिश्चित करें कि अपलोड किए जा रहे फ़ाइल पथों को ठीक से मान्य किया गया है और किसी भी संभावित दुर्भावनापूर्ण वर्णों को हटा दिया गया है। इसके अतिरिक्त, एप्लिकेशन को कम विशेषाधिकार वाले खाते के तहत चलाने पर विचार करें ताकि शोषण के प्रभाव को कम किया जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, अपलोड फ़ंक्शन के माध्यम से विभिन्न फ़ाइल पथों का परीक्षण करके।
Actualice vertaai/modeldb a la última versión disponible. Asegúrese de que la aplicación se ejecute dentro de un contenedor Docker con configuraciones de seguridad adecuadas para mitigar el riesgo de escritura arbitraria de archivos. Revise y endurezca la configuración de la aplicación para evitar la sobrescritura de archivos críticos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-1961 vertaai/modeldb में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो असुरक्षित फ़ाइल पथों के कारण होती है, जिससे हमलावर मनमाना फ़ाइलें लिख सकते हैं।
यदि आप vertaai/modeldb के किसी भी संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-1961 को ठीक करने के लिए, एप्लिकेशन को नवीनतम संस्करण में अपडेट करें या फ़ाइल अपलोड कार्यक्षमता के लिए इनपुट सत्यापन को मजबूत करें।
CVE-2024-1961 के सक्रिय शोषण की कोई जानकारी नहीं है, लेकिन इसकी उच्च CVSS स्कोर इंगित करती है कि इसका शोषण किया जा सकता है।
कृपया vertaai/modeldb की आधिकारिक वेबसाइट या NVD डेटाबेस पर CVE-2024-1961 के लिए सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।