Platform
other
Component
clearml-enterprise-server
Opgelost in
3.22.6
CVE-2024-39272 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in de dataset upload functionaliteit van ClearML Enterprise Server. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige HTML-code te injecteren via een speciaal geconstrueerde HTTP-request. De kwetsbaarheid treft versies 3.22.5-1533 van ClearML Enterprise Server. Een fix is beschikbaar in versie 3.22.6.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het stelen van gebruikersgegevens, het uitvoeren van kwaadaardige scripts in de context van een geauthenticeerde gebruiker, en het compromitteren van de integriteit van de ClearML Enterprise Server omgeving. De aanvaller kan bijvoorbeeld een phishing-pagina presenteren die eruitziet als een legitieme ClearML pagina, waardoor gebruikers onbedoeld gevoelige informatie prijsgeven. De impact kan verder reiken als de server wordt gebruikt voor gevoelige data-analyse en machine learning projecten, waarbij de data zelf ook in gevaar kan komen. Dit soort XSS-aanvallen kunnen vergelijkbare gevolgen hebben als die gezien zijn in andere webapplicaties met vergelijkbare functionaliteit.
De kwetsbaarheid is openbaar bekend gemaakt op 2025-02-06. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de publicatie van de kwetsbaarheid en de relatief eenvoudige exploitatie maken het waarschijnlijk dat deze in de toekomst zal worden uitgebuit. De CVSS score van 9 (CRITICAL) geeft aan dat de kwetsbaarheid een hoog risico vormt. Er zijn geen KEV vermeldingen bekend op het moment van schrijven.
Organizations that rely on ClearML Enterprise Server for machine learning experiment tracking and management are at risk. This includes data science teams, DevOps engineers, and anyone responsible for managing ClearML infrastructure. Specifically, deployments using older versions (3.22.5-1533) are highly vulnerable.
• generic web: Use curl to test the dataset upload endpoint with a simple XSS payload (e.g., `<script>alert(1)</script>). Check the response for the alert box.
curl -X POST -d '<script>alert(1)</script>' <dataset_upload_url>• generic web: Examine access and error logs for requests containing suspicious HTML tags or JavaScript code related to dataset uploads. • other: Monitor ClearML Enterprise Server logs for unusual activity, specifically related to dataset uploads and user sessions. Look for unexpected JavaScript execution or redirection attempts.
disclosure
Exploit Status
EPSS
0.64% (70% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar ClearML Enterprise Server versie 3.22.6, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan om de dataset upload functionaliteit tijdelijk uit te schakelen. Implementeer strenge input validatie en output encoding op alle gebruikersinvoer die wordt verwerkt door de dataset upload functionaliteit. Monitor de server logs op verdachte activiteiten, zoals ongebruikelijke HTTP-requests of pogingen om HTML-code te injecteren. Het gebruik van een Web Application Firewall (WAF) kan helpen om kwaadaardige requests te blokkeren voordat ze de server bereiken.
Werk ClearML Enterprise Server bij naar een versie later dan 3.22.5-1533 die de XSS kwetsbaarheid heeft verholpen. Raadpleeg de release notes of de website van de leverancier voor meer informatie over de update en de opgenomen correcties. Pas de beveiligingsmaatregelen toe die door ClearML worden aanbevolen om de risico's van XSS te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-39272 is a critical Cross-Site Scripting (XSS) vulnerability in ClearML Enterprise Server versions 3.22.5-1533, allowing attackers to inject malicious HTML code.
If you are running ClearML Enterprise Server version 3.22.5-1533, you are vulnerable to this XSS attack. Upgrade to 3.22.6 or later to mitigate the risk.
The recommended fix is to upgrade to ClearML Enterprise Server version 3.22.6 or a later version. Input validation and WAF rules can provide temporary protection.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a potential target. Monitor your systems closely.
Refer to the ClearML security advisory for detailed information and updates: [https://clearml.com/security/advisories](https://clearml.com/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.