Plataforma
python
Componente
ml-logger
Corrigido em
255.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no componente ml-logger, afetando versões até acf255bade5be6ad88d90735c8367b28cbe3a743. A falha reside na função loghandler do arquivo mllogger/server.py, permitindo que atacantes acessem arquivos arbitrários através da manipulação do argumento 'File'. A exploração é possível remotamente e um PoC público já está disponível, exigindo atenção imediata.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante ler arquivos sensíveis no sistema onde o ml-logger está em execução. Isso pode incluir informações de configuração, chaves de API, dados de log confidenciais ou até mesmo código-fonte. O acesso não autorizado a esses arquivos pode levar à exfiltração de dados, comprometimento do sistema e potencial escalação de privilégios. Dada a disponibilidade de um PoC público, o risco de exploração é elevado, especialmente em ambientes que não aplicam controles de acesso rigorosos ou monitoramento de atividades suspeitas. A natureza de 'rolling releases' do produto dificulta a identificação precisa de versões afetadas, tornando a aplicação de patches mais desafiadora.
A vulnerabilidade CVE-2025-10951 é considerada de alta prioridade devido à disponibilidade de um PoC público. Embora não esteja listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação, a facilidade de exploração sugere que pode ser adicionada no futuro. A ausência de informações detalhadas sobre as versões afetadas devido ao modelo de 'rolling releases' aumenta o risco, pois a aplicação de patches pode ser mais complexa. A rápida disseminação de PoCs públicos geralmente leva a campanhas de exploração em larga escala.
Organizations deploying ml-logger in production environments, particularly those handling sensitive data, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable. Shared hosting environments using ml-logger are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u ml-logger -g 'path traversal'• generic web:
curl -I <ml-logger-endpoint> | grep -i 'path traversal'disclosure
poc
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o ml-logger para a versão 255.0.1 ou superior, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, considere implementar controles de acesso rigorosos para restringir o acesso ao diretório onde o ml-logger está instalado. Implementar regras de firewall para bloquear o acesso externo à porta utilizada pelo ml-logger também pode ajudar a reduzir a superfície de ataque. Monitore os logs do sistema em busca de tentativas de acesso a arquivos não autorizados, especialmente aquelas que envolvem manipulação de caminhos de arquivo. Embora não haja assinaturas Sigma ou YARA específicas disponíveis, a análise de logs em busca de padrões de acesso incomuns pode ajudar a detectar atividades maliciosas.
Actualice la biblioteca ml-logger a una versión posterior a acf255bade5be6ad88d90735c8367b28cbe3a743. Si no hay una versión disponible, revise el código de la función log_handler en server.py y corrija la vulnerabilidad de path traversal, validando y sanitizando la entrada del argumento File.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-10951 is a Path Traversal vulnerability affecting geyang ml-logger versions up to acf255bade5be6ad88d90735c8367b28cbe3a743, allowing attackers to access arbitrary files remotely.
If you are using ml-logger versions prior to 255.0.1, you are potentially affected by this vulnerability. Check your current version against the affected range.
Upgrade to ml-logger version 255.0.1 or later to address this vulnerability. Consider WAF rules as a temporary mitigation if upgrading is not immediately possible.
A public proof-of-concept exists, indicating a high probability of active exploitation. Prioritize remediation to mitigate the risk.
Refer to the geyang ml-logger project's release notes or security advisories for the official announcement and details regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.