Allegro AIのClearMLプラットフォームのapiサーバーコンポーネントのすべてのバージョン（1.14.1まで）に、クロスサイトリクエストフォージェリ (CSRF) の脆弱性が存在し、悪意のあるHTMLを介してAPIリクエストを送信することで、リモート攻撃者がユーザーになりすますことができます。

このCSRF脆弱性を悪用すると、攻撃者はClearMLプラットフォーム上でユーザーを装うことが可能になります。これにより、機密性の高いワークスペースやファイルへのアクセス、機密情報の漏洩、そして閉鎖されたネットワーク内のClearMLプラットフォームへの攻撃といった深刻な被害が発生する可能性があります。攻撃者は、ユーザーの権限を利用して、データの改ざん、削除、または不正な操作を実行できる可能性があります。この脆弱性は、特にClearMLプラットフォームを重要なデータやプロセスに使用している組織にとって、重大なリスクとなります。

Organizations utilizing ClearML for machine learning experiment tracking and management are at risk. This includes teams managing sensitive data within ClearML workspaces, particularly those operating within closed or isolated network environments. Users who have not implemented robust authentication and authorization controls are also at increased risk.

• python / server:

# Check for ClearML version
import requests
import json

url = 'http://your-clearml-server/api/v1/info'

try:
    response = requests.get(url)
    response.raise_for_status()
    data = response.json()
    version = data.get('version', 'Unknown')
    print(f'ClearML Version: {version}')
    if version and float(version) < 1.14.2:
        print('VULNERABLE: ClearML version is less than 1.14.2')
    else:
        print('ClearML version is patched.')
except requests.exceptions.RequestException as e:
    print(f'Error connecting to ClearML server: {e}')

1. 2024-02-06Disclosure

   disclosure

1. 予約済み2024-01-25
2. 公開日2024-02-06
3. 更新日2025-06-17
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、ClearMLプラットフォームをバージョン1.14.2にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、WAF（Web Application Firewall）を導入し、CSRFトークン検証を強化することを検討してください。また、ClearMLプラットフォームへのアクセスを厳格に制御し、不要なAPIエンドポイントを無効化することで、攻撃対象領域を縮小できます。さらに、ユーザーに対して、不審なリンクやリクエストには注意するよう教育することも重要です。