Platform
python
Component
clearml-server
Opgelost in
1.14.2
CVE-2024-24593 beschrijft een cross-site request forgery (CSRF) kwetsbaarheid in de api server component van ClearML, een platform van Allegro AI. Deze kwetsbaarheid stelt een externe aanvaller in staat om een gebruiker te imiteren door kwaadaardige HTML te gebruiken om API-verzoeken te versturen. De kwetsbaarheid beïnvloedt versies van ClearML tot en met 1.14.1, en een fix is beschikbaar in versie 1.14.2.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan ernstige gevolgen hebben voor ClearML-gebruikers. Een aanvaller kan zich voordoen als een legitieme gebruiker en ongeautoriseerde acties uitvoeren, zoals het compromitteren van vertrouwelijke workspaces en bestanden. Dit kan leiden tot datalekken van gevoelige informatie en het in gevaar brengen van ClearML-platforms binnen afgesloten netwerken. De mogelijkheid om API-verzoeken te manipuleren, geeft de aanvaller aanzienlijke controle over de functionaliteit van het platform.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes gericht op CVE-2024-24593. Er zijn ook geen publiekelijk beschikbare proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus (KEV status onbekend op het moment van schrijven). De publicatiedatum van de CVE is 2024-02-06.
Organizations utilizing ClearML for machine learning experiment tracking and management are at risk. This includes teams managing sensitive data within ClearML workspaces, particularly those operating within closed or isolated network environments. Users who have not implemented robust authentication and authorization controls are also at increased risk.
• python / server:
# Check for ClearML version
import requests
import json
url = 'http://your-clearml-server/api/v1/info'
try:
response = requests.get(url)
response.raise_for_status()
data = response.json()
version = data.get('version', 'Unknown')
print(f'ClearML Version: {version}')
if version and float(version) < 1.14.2:
print('VULNERABLE: ClearML version is less than 1.14.2')
else:
print('ClearML version is patched.')
except requests.exceptions.RequestException as e:
print(f'Error connecting to ClearML server: {e}')disclosure
Exploit Status
EPSS
0.42% (62% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-24593 is het upgraden van ClearML naar versie 1.14.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van strikte inputvalidatie en output encoding op alle API-endpoints. Het gebruik van Content Security Policy (CSP) kan ook helpen om CSRF-aanvallen te beperken door de bronnen te beperken waaruit de browser scripts kan laden. Monitor de ClearML-logboeken op verdachte API-verzoeken en implementeer een Web Application Firewall (WAF) om kwaadaardig verkeer te blokkeren. Na de upgrade, verifieer de fix door te proberen een API-verzoek te versturen via een kwaadaardige HTML-pagina en controleer of de actie wordt geblokkeerd.
Werk ClearML bij naar versie 1.14.2 of hoger. Deze versie bevat een correctie voor de CSRF-kwetsbaarheid. Raadpleeg de release notes en de upgrade-instructies die door Allegro AI worden verstrekt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-24593 is a critical cross-site request forgery (CSRF) vulnerability affecting ClearML versions 0.0 - 1.14.2, allowing attackers to impersonate users and compromise workspaces.
If you are running ClearML versions 0.0 through 1.14.1, you are affected by this vulnerability. Upgrade to version 1.14.2 or later to mitigate the risk.
The recommended fix is to upgrade to ClearML version 1.14.2 or later. Temporary workarounds include input validation and WAF implementation.
While no active exploitation campaigns have been publicly reported, the ease of exploitation associated with CSRF vulnerabilities suggests it is likely to be targeted.
Refer to the ClearML security advisory for detailed information and updates: [https://clear.ml/security/advisories/CVE-2024-24593](https://clear.ml/security/advisories/CVE-2024-24593)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.