प्लेटफ़ॉर्म
python
घटक
mindsdb
में ठीक किया गया
24.9.3
CVE-2024-45856 एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो MindsDB प्लेटफॉर्म में पाई गई है। यह भेद्यता हमलावरों को वेब UI में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है, जब कोई उपयोगकर्ता ML इंजन, डेटाबेस, प्रोजेक्ट या डेटासेट को सूचीबद्ध करता है। यह भेद्यता MindsDB प्लेटफॉर्म के संस्करणों ≤24.9.2.1 को प्रभावित करती है। इस समस्या को ठीक करने के लिए नवीनतम संस्करण में अपडेट करना आवश्यक है।
यह XSS भेद्यता हमलावरों के लिए दुर्भावनापूर्ण जावास्क्रिप्ट कोड को इंजेक्ट करने का मार्ग खोलती है, जो तब ब्राउज़र में निष्पादित हो सकता है। हमलावर उपयोगकर्ता सत्रों को हाईजैक कर सकते हैं, संवेदनशील जानकारी चुरा सकते हैं (जैसे क्रेडेंशियल, API कुंजियाँ), या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। चूंकि भेद्यता ML इंजन, डेटाबेस, प्रोजेक्ट और डेटासेट को सूचीबद्ध करते समय मौजूद है, इसलिए यह कई उपयोगकर्ताओं को प्रभावित कर सकती है और संभावित रूप से पूरे MindsDB प्लेटफॉर्म की सुरक्षा को खतरे में डाल सकती है। इस तरह की भेद्यता का शोषण डेटा उल्लंघनों, सेवा से इनकार (DoS) हमलों और सिस्टम के पूर्ण नियंत्रण के लिए किया जा सकता है।
CVE-2024-45856 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता KEV (Know Exploited Vulnerability) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, उनका जल्द ही उभरना संभव है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो 2024-09-12 को प्रकाशित हुई थी।
Organizations utilizing MindsDB for machine learning model management and deployment are at risk. This includes data scientists, machine learning engineers, and DevOps teams who interact with the MindsDB web UI. Specifically, those relying on older versions of MindsDB (≤24.9.2.1) are highly vulnerable.
• python / server:
import requests
from bs4 import BeautifulSoup
url = 'http://your-mindsdb-instance/ui/ml-engines'
response = requests.get(url)
if response.status_code == 200:
soup = BeautifulSoup(response.content, 'html.parser')
# Look for suspicious script tags or event handlers
for script in soup.find_all('script'):
if script.string and 'eval(' in script.string:
print(f'Potential XSS detected: {script.string}')• generic web:
curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'content-security-policy'• generic web:
curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'x-xss-protection'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-45856 के लिए प्राथमिक शमन रणनीति MindsDB प्लेटफॉर्म को संस्करण 24.9.2.1 से ऊपर के नवीनतम संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर करके या इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके XSS हमलों को कम किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य और सैनिटाइज किया गया है, और आउटपुट को प्रदर्शित करने से पहले एन्कोड किया गया है। इसके अतिरिक्त, नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग संभावित कमजोरियों की पहचान करने और उन्हें ठीक करने में मदद कर सकते हैं। अपडेट के बाद, यह सत्यापित करें कि XSS हमलों को रोकने के लिए सभी सुरक्षा उपाय प्रभावी हैं।
MindsDB को नवीनतम उपलब्ध संस्करण में अपडेट करें। यह XSS भेद्यता को ठीक कर देगा। अपडेट के बारे में अधिक जानकारी के लिए रिलीज़ नोट्स देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-45856 MindsDB प्लेटफॉर्म में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को वेब UI में जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है।
यदि आप MindsDB प्लेटफॉर्म के संस्करण ≤24.9.2.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-45856 को ठीक करने के लिए MindsDB प्लेटफॉर्म को संस्करण 24.9.2.1 से ऊपर के नवीनतम संस्करण में अपडेट करें।
CVE-2024-45856 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
कृपया MindsDB सुरक्षा सलाहकार के लिए MindsDB वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।