Platform
python
Component
mlflow
Opgelost in
2.9.3
Deze kwetsbaarheid, aangeduid als CVE-2024-1593, is een Path Traversal probleem in MLflow versies tot en met 2.9.2. Een aanvaller kan ongeautoriseerde toegang tot bestanden en directories verkrijgen door URL-parameters te manipuleren. Dit kan leiden tot dataverlies of zelfs een compromis van de server. Het probleem is publiekelijk bekend gemaakt op 16 april 2024 en een fix is beschikbaar.
De Path Traversal kwetsbaarheid in MLflow stelt aanvallers in staat om de 'params' sectie van een URL te manipuleren met behulp van het ';'-teken. Dit maakt het mogelijk om paden buiten de beoogde directory te benaderen, waardoor gevoelige bestanden gelezen of zelfs gewijzigd kunnen worden. Een succesvolle exploitatie kan leiden tot de onthulling van vertrouwelijke informatie, zoals configuratiebestanden, API-sleutels of andere gevoelige data. In ernstige gevallen kan dit zelfs leiden tot een volledige servercompromis, waarbij de aanvaller controle over het systeem kan overnemen. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden, waarbij de mogelijkheid bestaat om de directory structuur te navigeren en toegang te krijgen tot ongeautoriseerde bronnen.
CVE-2024-1593 is momenteel niet opgenomen in de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend, maar de kwetsbaarheid is inherent en relatief eenvoudig te exploiteren. De publicatie van de kwetsbaarheid op 16 april 2024 betekent dat aanvallers nu de mogelijkheid hebben om deze te exploiteren. Het is belangrijk om snel te reageren en de mitigatiemaatregelen te implementeren om het risico te minimaliseren.
Organizations deploying MLflow for machine learning model tracking and management are at risk, particularly those using older versions (≤2.9.2). Shared hosting environments where MLflow is deployed alongside other applications are also at increased risk, as a successful exploit could potentially compromise the entire host.
• python / mlflow:
import re
def check_mlflow_params(url):
match = re.search(r'params=(.*?)(&|$)', url)
if match:
params = match.group(1)
if ';' in params:
print(f"Potential path traversal detected in params: {params}")• generic web:
curl -I 'http://your-mlflow-server/some/endpoint?params=;../sensitive/file'Inspect the response headers and body for any unexpected file disclosures.
disclosure
Exploit Status
EPSS
0.31% (54% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-1593 is het upgraden van MLflow naar een versie met de fix. Controleer de officiële MLflow documentatie voor de meest recente beveiligde versie. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de URL-parameters te filteren en het gebruik van het ';'-teken te blokkeren. Zorg ervoor dat de MLflow installatie is geconfigureerd met de minste benodigde rechten om de potentiële impact van een succesvolle exploitatie te beperken. Na de upgrade, bevestig de fix door te proberen een pad buiten de toegestane directory te benaderen via een URL met een ';'-teken in de 'params' sectie. De toegang zou moeten worden geweigerd.
Actualice la biblioteca mlflow a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-1593 is a path traversal vulnerability in MLflow versions 2.9.2 and earlier, allowing attackers to manipulate URL parameters to access unauthorized files.
You are affected if you are using MLflow version 2.9.2 or earlier. Check your MLflow version and upgrade as soon as a patch is available.
Upgrade to a patched version of MLflow. Until a patch is released, implement strict input validation on URL parameters and consider using a WAF.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests it could become a target.
Monitor the MLflow GitHub repository and official MLflow documentation for updates and security advisories related to CVE-2024-1593.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.