Platform
java
Component
fedml
Opgelost in
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
CVE-2026-5535 is een Path Traversal kwetsbaarheid gevonden in FedML, specifiek in de MQTT Message Handler component binnen de file FileUtils.java. Deze kwetsbaarheid stelt een aanvaller in staat om, door manipulatie van de 'dataSet' parameter, toegang te krijgen tot gevoelige bestanden buiten de toegestane directory, wat kan leiden tot data-exfiltratie of systeemcompromittering. De kwetsbaarheid treft FedML versies 0.8.0 tot en met 0.8.9. Er is momenteel geen officiële patch beschikbaar.
Een padtraverserings-kwetsbaarheid is ontdekt in FedML-AI FedML tot versie 0.8.9. Deze kwetsbaarheid treft een onbekende functie binnen het bestand FileUtils.java van de MQTT Message Handler-component. Een aanvaller kan deze kwetsbaarheid uitbuiten door de data van het argument 'dataSet' te manipuleren, waardoor hij mogelijk toegang kan krijgen tot bestanden en mappen buiten de beoogde scope. De kwetsbaarheid wordt als hoog risico ingeschaald vanwege de mogelijkheid tot remote exploitatie. De publieke release van een exploit verhoogt het risico op aanvallen aanzienlijk. De leverancier werd vroegtijdig op de hoogte gesteld van deze openbaarmaking, maar heeft niet gereageerd, wat de inspanningen om de kwetsbaarheid te verhelpen belemmert.
De kwetsbaarheid wordt uitgebuit door het argument 'dataSet' binnen de MQTT Message Handler-component in het bestand FileUtils.java te manipuleren. De publiekelijk beschikbare exploit stelt een remote aanvaller in staat om willekeurige bestanden op het onderliggende bestandssysteem te benaderen. Dit komt door onvoldoende invoervalidatie. De remote aard van de exploit betekent dat een aanvaller geen fysieke toegang tot het systeem nodig heeft. De publieke beschikbaarheid van de exploit vergroot de kans op exploitatiepogingen. Het gebrek aan reactie van de leverancier verergert de situatie, aangezien er geen officiële fix beschikbaar is.
Organizations utilizing FedML for machine learning or data processing, particularly those deploying it in cloud environments or shared hosting setups, are at significant risk. Environments with weak input validation or inadequate network segmentation are especially vulnerable.
• java / server:
find /path/to/fedml/ -name "FileUtils.java"• java / server:
ps aux | grep -i "FedML"• generic web:
curl -I http://your-fedml-server/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
Gezien het gebrek aan reactie van de leverancier is onmiddellijke mitigatie uitdagend. De belangrijkste aanbeveling is om te upgraden naar een gepatchte versie van FedML-AI zodra er een beschikbaar is. In de tussentijd, implementeer strenge toegangscontroles op de server die FedML-AI host om de toegang tot gevoelige bestanden te beperken. Bewaak de systeemlogboeken actief op verdachte activiteiten met betrekking tot bestandsverwerking. Netwerksegmentatie kan het FedML-AI-systeem isoleren van andere kritieke resources. Het stilzwijgen van de leverancier benadrukt het belang van robuuste incident response plannen.
Actualice a una versión corregida de FedML que solucione la vulnerabilidad de recorrido de directorios en el manejo de mensajes MQTT. Consulte la documentación del proveedor o los registros de cambios para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Padtraversering stelt een aanvaller in staat om toegang te krijgen tot bestanden en mappen buiten de beoogde scope door sequenties zoals '..' in het bestandspad te gebruiken.
Implementeer strenge toegangscontroles, bewaak de systeemlogboeken en overweeg netwerksegmentatie.
Het gebrek aan reactie van de leverancier is zorgwekkend en belemmert de mitigatie. Overweeg om de leverancier rechtstreeks te contacteren om uw bezorgdheid te uiten.
Ja, de publieke beschikbaarheid van de exploit suggereert dat deze relatief gemakkelijk uit te buiten is.
Elk systeem dat FedML-AI tot versie 0.8.9 uitvoert, is kwetsbaar. Beoordeel uw infrastructuur om getroffen instanties te identificeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.