Plataforma
python
Componente
fedml
Corrigido em
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
Uma vulnerabilidade de Deserialização Insegura foi descoberta no FedML-AI FedML nas versões de 0.8.0 a 0.8.9. Essa falha reside na função sendMessage do componente gRPC server, permitindo a execução de código arbitrário através da manipulação de dados serializados. A exploração remota é possível, e o fornecedor não respondeu aos alertas de divulgação.
Uma vulnerabilidade de deserialização foi identificada no FedML-AI FedML até a versão 0.8.9, especificamente na função sendMessage do arquivo grpc_server.py do componente servidor gRPC. Essa vulnerabilidade permite que um atacante remoto execute código arbitrário no sistema afetado, enviando mensagens maliciosamente elaboradas. A severidade da vulnerabilidade é classificada como CVSS 7.3, indicando um risco moderadamente alto. A falta de resposta do fornecedor às notificações antecipadas de divulgação agrava a situação, deixando os usuários expostos sem uma solução oficial. A exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade dos dados e sistemas FedML.
A vulnerabilidade reside na função sendMessage do servidor gRPC, permitindo que um atacante remoto envie mensagens especialmente elaboradas que acionam a deserialização de objetos maliciosos. A falta de validação de entrada na função sendMessage facilita a exploração. Um atacante pode aproveitar essa vulnerabilidade para executar comandos arbitrários no servidor, acessar dados confidenciais ou até mesmo assumir o controle completo do sistema. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao sistema afetado.
Organizations utilizing FedML for machine learning tasks, particularly those deploying it in cloud environments or exposing it to external networks, are at significant risk. Environments with limited security controls or those relying on older, unpatched versions of FedML are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted.
• python / server:
import os
import subprocess
# Check for the vulnerable file
if os.path.exists('/path/to/fedml/grpc_server.py'): # Replace with actual path
try:
result = subprocess.run(['grep', '-i', 'sendMessage', '/path/to/fedml/grpc_server.py'], capture_output=True, text=True, check=True)
if 'sendMessage' in result.stdout:
print('Vulnerable file detected.')
else:
print('sendMessage function not found.')
except subprocess.CalledProcessError as e:
print(f'Error checking file: {e}')
else:
print('FedML not installed.')• generic web:
curl -I <fedml_grpc_endpoint> # Check for unusual headers or content types related to serializationdisclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
Dado que o fornecedor não forneceu uma solução, a mitigação imediata envolve evitar o uso do FedML-AI FedML até que uma atualização seja lançada. Se for essencial usar a plataforma, é recomendável implementar medidas de segurança adicionais, como isolamento de rede, monitoramento do tráfego de rede em busca de atividades suspeitas e aplicação de políticas de segurança rigorosas para limitar o acesso aos recursos do sistema. É crucial manter os sistemas atualizados com os últimos patches de segurança e realizar auditorias de segurança periódicas para identificar e abordar possíveis vulnerabilidades. Considere migrar para uma alternativa segura, se possível.
Actualice a una versión de FedML posterior a la 0.8.9 para mitigar la vulnerabilidad de deserialización en el servidor gRPC. Revise el código para identificar y eliminar cualquier deserialización insegura. Implemente validación de entrada robusta para prevenir la inyección de datos maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Deserialização é o processo de converter dados armazenados ou transmitidos em um formato que um programa possa ler. Uma vulnerabilidade de deserialização ocorre quando um programa desserializa dados não confiáveis sem validação adequada, permitindo que um atacante injete código malicioso.
Se você estiver usando FedML-AI FedML na versão 0.8.9 ou anterior, provavelmente estará afetado. Consulte a documentação do FedML para obter mais informações.
Implemente medidas de mitigação, como isolamento de rede e monitoramento do tráfego de rede.
Sim, o fornecedor foi notificado, mas ainda não respondeu.
Dependendo de suas necessidades, existem várias alternativas ao FedML. Pesquise e escolha uma solução que atenda aos seus requisitos de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.