प्लेटफ़ॉर्म
other
घटक
clearml-enterprise-server
में ठीक किया गया
3.22.6
CVE-2024-39272 ClearML Enterprise Server में डेटासेट अपलोड कार्यक्षमता में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को मनमाना HTML कोड निष्पादित करने की अनुमति दे सकती है, जिससे संभावित रूप से संवेदनशील जानकारी का समझौता हो सकता है या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है। यह भेद्यता ClearML Enterprise Server संस्करण 3.22.5-1533 को प्रभावित करती है, और इसे संस्करण 3.22.6 में ठीक किया गया है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। एक हमलावर एक विशेष रूप से तैयार HTTP अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है, जो उपयोगकर्ता के ब्राउज़र में मनमाना HTML कोड निष्पादित करता है। इससे हमलावर उपयोगकर्ता के सत्र कुकीज़ चुरा सकता है, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है, या उपयोगकर्ता के खाते पर नियंत्रण प्राप्त कर सकता है। इस भेद्यता का उपयोग संवेदनशील डेटा को चुराने, सिस्टम को समझौता करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। XSS भेद्यता के कारण, हमलावर ClearML Enterprise Server के भीतर विशेषाधिकार प्राप्त कर सकता है, जिससे संभावित रूप से पूरे सिस्टम तक पहुंच प्राप्त हो सकती है।
CVE-2024-39272 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण मौजूद हैं। इस भेद्यता को KEV (Know Exploited Vulnerabilities) सूची में जोड़ा गया है, जो इसके उच्च जोखिम को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद होने की संभावना है, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बना सकता है।
Organizations that rely on ClearML Enterprise Server for machine learning experiment tracking and management are at risk. This includes data science teams, DevOps engineers, and anyone responsible for managing ClearML infrastructure. Specifically, deployments using older versions (3.22.5-1533) are highly vulnerable.
• generic web: Use curl to test the dataset upload endpoint with a simple XSS payload (e.g., `<script>alert(1)</script>). Check the response for the alert box.
curl -X POST -d '<script>alert(1)</script>' <dataset_upload_url>• generic web: Examine access and error logs for requests containing suspicious HTML tags or JavaScript code related to dataset uploads. • other: Monitor ClearML Enterprise Server logs for unusual activity, specifically related to dataset uploads and user sessions. Look for unexpected JavaScript execution or redirection attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.64% (70% शतमक)
CVSS वेक्टर
CVE-2024-39272 को कम करने के लिए, ClearML Enterprise Server को तुरंत संस्करण 3.22.6 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके डेटासेट अपलोड कार्यक्षमता के लिए इनपुट को फ़िल्टर किया जा सकता है ताकि दुर्भावनापूर्ण स्क्रिप्ट को रोका जा सके। इसके अतिरिक्त, ClearML Enterprise Server के लिए सख्त इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करना महत्वपूर्ण है ताकि XSS हमलों को रोका जा सके। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है, और सभी आउटपुट को HTML एन्कोडिंग के साथ एन्कोड किया गया है।
ClearML Enterprise Server को 3.22.5-1533 से बाद के संस्करण में अपडेट करें जिसमें XSS भेद्यता को ठीक किया गया है। अपडेट और शामिल सुधारों के बारे में अधिक जानकारी के लिए संस्करण नोट्स या विक्रेता की वेबसाइट देखें। XSS के जोखिमों को कम करने के लिए ClearML द्वारा अनुशंसित सुरक्षा उपाय लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-39272 ClearML Enterprise Server के डेटासेट अपलोड कार्यक्षमता में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को मनमाना HTML कोड निष्पादित करने की अनुमति देती है।
यदि आप ClearML Enterprise Server संस्करण 3.22.5-1533 चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-39272 को ठीक करने के लिए, ClearML Enterprise Server को संस्करण 3.22.6 में अपडेट करें।
CVE-2024-39272 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण मौजूद हैं।
आप ClearML की वेबसाइट पर CVE-2024-39272 के लिए आधिकारिक सलाहकार पा सकते हैं: [https://www.clearml.com/security/advisories](https://www.clearml.com/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।