Plataforma
python
Componente
mindsdb
Corrigido em
24.9.3
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta na plataforma MindsDB, afetando todas as versões até a 24.9.2.1. Esta falha permite que um atacante execute código JavaScript malicioso no navegador de um usuário, comprometendo a segurança e a integridade dos dados. A vulnerabilidade foi divulgada em 12 de setembro de 2024 e a correção está disponível para as versões mais recentes.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete scripts maliciosos no web UI do MindsDB. Ao enumerar ML Engines, bancos de dados, projetos ou datasets, um atacante pode inserir código JavaScript arbitrário que será executado no contexto do navegador do usuário. Isso pode levar ao roubo de credenciais de autenticação, redirecionamento para sites maliciosos, defacement do web UI ou até mesmo à execução de ações em nome do usuário afetado. O impacto potencial é significativo, especialmente em ambientes onde o MindsDB é usado para gerenciar dados sensíveis ou controlar acesso a recursos críticos.
A vulnerabilidade foi divulgada publicamente em 12 de setembro de 2024. A probabilidade de exploração é considerada alta devido à facilidade de exploração do XSS e à sua natureza crítica. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação, mas a ausência de uma correção imediata aumenta o risco. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations utilizing MindsDB for machine learning model management and deployment are at risk. This includes data scientists, machine learning engineers, and DevOps teams who interact with the MindsDB web UI. Specifically, those relying on older versions of MindsDB (≤24.9.2.1) are highly vulnerable.
• python / server:
import requests
from bs4 import BeautifulSoup
url = 'http://your-mindsdb-instance/ui/ml-engines'
response = requests.get(url)
if response.status_code == 200:
soup = BeautifulSoup(response.content, 'html.parser')
# Look for suspicious script tags or event handlers
for script in soup.find_all('script'):
if script.string and 'eval(' in script.string:
print(f'Potential XSS detected: {script.string}')• generic web:
curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'content-security-policy'• generic web:
curl -I http://your-mindsdb-instance/ui/ml-engines | grep -i 'x-xss-protection'disclosure
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
Vetor CVSS
A mitigação imediata desta vulnerabilidade envolve a atualização para a versão mais recente do MindsDB, que inclui a correção para o XSS. Se a atualização imediata não for possível, considere implementar workarounds como a validação e sanitização rigorosas de todas as entradas de usuário no web UI. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a restringir as fontes de scripts que podem ser executados no navegador, reduzindo o impacto potencial de um ataque XSS. Monitore os logs do MindsDB em busca de atividades suspeitas e configure alertas para detectar tentativas de exploração.
Atualize o MindsDB para a última versão disponível. Isso corrigirá a vulnerabilidade XSS. Consulte as notas de versão para obter mais detalhes sobre a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-45856 is a critical Cross-Site Scripting (XSS) vulnerability affecting MindsDB versions up to 24.9.2.1, allowing attackers to execute JavaScript code within the web UI.
Yes, if you are using MindsDB version 24.9.2.1 or earlier, you are vulnerable to this XSS attack.
Upgrade to a patched version of MindsDB as soon as it becomes available. Until then, implement input validation and WAF rules.
While no public exploits are currently known, the vulnerability's criticality suggests a high likelihood of exploitation.
Refer to the official MindsDB security advisories on their website or GitHub repository for updates and mitigation guidance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.