Platform
python
Component
fedml
Opgelost in
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
In FedML-AI FedML versies 0.8.0 tot 0.8.9 is een Insecure Deserialization kwetsbaarheid gevonden. Deze kwetsbaarheid bevindt zich in de functie sendMessage van de gRPC server en kan misbruikt worden om willekeurige code uit te voeren. De aanval kan op afstand worden uitgevoerd. Op dit moment is er geen officiële patch beschikbaar.
Een deserialisatie-kwetsbaarheid is geïdentificeerd in FedML-AI FedML tot versie 0.8.9, specifiek in de functie sendMessage van het bestand grpc_server.py van de gRPC server component. Deze kwetsbaarheid stelt een externe aanvaller in staat om willekeurige code uit te voeren op het getroffen systeem door kwaadaardig opgebouwde berichten te verzenden. De ernst van de kwetsbaarheid wordt beoordeeld als CVSS 7.3, wat een matig hoog risico aangeeft. Het gebrek aan reactie van de leverancier op vroege openbaarmakingen verergert de situatie, waardoor gebruikers onbeschermd achterblijven zonder een officiële oplossing. Een succesvolle exploitatie kan de vertrouwelijkheid, integriteit en beschikbaarheid van FedML-gegevens en -systemen in gevaar brengen.
De kwetsbaarheid bevindt zich in de functie sendMessage van de gRPC-server, waardoor een externe aanvaller speciaal opgebouwde berichten kan verzenden die de deserialisatie van kwaadaardige objecten triggeren. Het ontbreken van invoervalidatie in de functie sendMessage vergemakkelijkt de exploitatie. Een aanvaller kan deze kwetsbaarheid benutten om willekeurige commando's op de server uit te voeren, toegang te krijgen tot gevoelige gegevens of zelfs de volledige controle over het systeem over te nemen. De externe aard van de exploitatie betekent dat een aanvaller geen fysieke toegang tot het getroffen systeem nodig heeft.
Organizations utilizing FedML for machine learning tasks, particularly those deploying it in cloud environments or exposing it to external networks, are at significant risk. Environments with limited security controls or those relying on older, unpatched versions of FedML are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted.
• python / server:
import os
import subprocess
# Check for the vulnerable file
if os.path.exists('/path/to/fedml/grpc_server.py'): # Replace with actual path
try:
result = subprocess.run(['grep', '-i', 'sendMessage', '/path/to/fedml/grpc_server.py'], capture_output=True, text=True, check=True)
if 'sendMessage' in result.stdout:
print('Vulnerable file detected.')
else:
print('sendMessage function not found.')
except subprocess.CalledProcessError as e:
print(f'Error checking file: {e}')
else:
print('FedML not installed.')• generic web:
curl -I <fedml_grpc_endpoint> # Check for unusual headers or content types related to serializationdisclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
Gezien het gebrek aan een oplossing van de leverancier, omvat de onmiddellijke mitigatie het vermijden van het gebruik van FedML-AI FedML totdat een update wordt uitgebracht. Als het gebruik van het platform essentieel is, wordt het aanbevolen om aanvullende beveiligingsmaatregelen te implementeren, zoals netwerkisolatie, het monitoren van netwerkverkeer op verdachte activiteiten en het afdwingen van strikte beveiligingsbeleid om de toegang tot systeemresources te beperken. Het is cruciaal om systemen up-to-date te houden met de nieuwste beveiligingspatches en regelmatige beveiligingsaudits uit te voeren om potentiële kwetsbaarheden te identificeren en aan te pakken. Overweeg te migreren naar een veilig alternatief indien mogelijk.
Actualice a una versión de FedML posterior a la 0.8.9 para mitigar la vulnerabilidad de deserialización en el servidor gRPC. Revise el código para identificar y eliminar cualquier deserialización insegura. Implemente validación de entrada robusta para prevenir la inyección de datos maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Deserialisatie is het proces van het omzetten van gegevens die zijn opgeslagen of verzonden in een formaat dat een programma kan lezen. Een deserialisatie-kwetsbaarheid treedt op wanneer een programma niet-vertrouwde gegevens deserialiseert zonder de juiste validatie, waardoor een aanvaller de mogelijkheid heeft om kwaadaardige code in te voegen.
Als u FedML-AI FedML versie 0.8.9 of lager gebruikt, is de kans groot dat u getroffen bent. Raadpleeg de FedML-documentatie voor meer informatie.
Implementeer mitigerende maatregelen zoals netwerkisolatie en het monitoren van netwerkverkeer.
Ja, de leverancier is op de hoogte gesteld, maar heeft nog niet gereageerd.
Afhankelijk van uw behoeften zijn er verschillende alternatieven voor FedML. Onderzoek en kies een oplossing die aan uw beveiligingseisen voldoet.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.