Platform
python
Component
mlflow
Opgelost in
2.12.1
CVE-2024-1483 beschrijft een Path Traversal kwetsbaarheid in MLflow, een open-source platform voor machine learning lifecycle management. Deze kwetsbaarheid stelt aanvallers in staat om via speciaal opgebouwde HTTP POST requests willekeurige bestanden op de server te benaderen. De kwetsbaarheid treedt op in versies van MLflow tot en met 2.9.2 en is verholpen in versie 2.12.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop MLflow draait. Dit omvat potentieel configuratiebestanden, broncode, logbestanden en andere data die de integriteit en vertrouwelijkheid van het systeem in gevaar kunnen brengen. Een aanvaller kan deze toegang gebruiken om gevoelige informatie te stelen, de server te compromitteren of zelfs de controle over het systeem over te nemen. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de directory structuur van de server kan worden doorzocht.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de beschikbaarheid van de informatie maakt het een potentieel doelwit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een score die de waarschijnlijkheid van exploitatie aangeeft. Er zijn publieke Proof-of-Concept (POC) exploits beschikbaar, wat het risico verhoogt.
Organizations utilizing MLflow for machine learning model tracking and management, particularly those running versions 2.9.2 or earlier, are at risk. Shared hosting environments where multiple users share the same MLflow instance are especially vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• python / mlflow:
import requests
url = 'http://your-mlflow-server/tracking/api/v2/artifacts'
headers = {'Content-Type': 'application/json'}
payload = {
'artifact_location': '../sensitive_file.txt#',
'source': 'local'
}
response = requests.post(url, headers=headers, json=payload)
print(response.status_code, response.text)• linux / server: journalctl filters for HTTP POST requests to /tracking/api/v2/artifacts with unusual parameters.
• generic web: Check access/error logs for HTTP POST requests to /tracking/api/v2/artifacts containing artifact_location or source parameters with '../' sequences.
disclosure
Exploit Status
EPSS
77.15% (99% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-1483 is het upgraden van MLflow naar versie 2.12.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de artifact_location en source parameters in de MLflow server handlers. Dit kan worden bereikt door input validatie toe te voegen om te voorkomen dat aanvallers lokale URI's met '#' gebruiken. Het gebruik van een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren kan ook helpen. Controleer de MLflow configuratie op onnodige toegangsrechten en beperk de rechten van de gebruiker die de MLflow server draait.
Actualice la biblioteca mlflow a una versión posterior a la 2.9.2. Esto solucionará la vulnerabilidad de path traversal. Puede actualizar usando `pip install mlflow --upgrade`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-1483 is a path traversal vulnerability in MLflow versions up to 2.9.2, allowing attackers to access arbitrary files on the server through crafted HTTP requests.
You are affected if you are running MLflow version 2.9.2 or earlier. Upgrade to 2.12.1 or later to resolve the vulnerability.
Upgrade MLflow to version 2.12.1 or later. As a temporary workaround, restrict network access and implement WAF rules to filter malicious requests.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the MLflow security advisory for detailed information and updates: [https://mlflow.org/docs/security](https://mlflow.org/docs/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.