UNKNOWNCVE-2025-15036
CVE-2025-15036 MLflow 路径遍历漏洞:文件覆盖
平台
python
组件
mlflow
已修复版本
3.9.0
CVE-2025-15036 是 MLflow 中的一个路径遍历漏洞,攻击者可以利用此漏洞覆盖任意文件,甚至可能逃避沙盒目录。此漏洞存在于 `extract_archive_to_dir` 函数中。受影响的版本包括 3.9.0 及以下版本。该漏洞已在 3.9.0 版本中修复,建议尽快更新。
修复方法
将 mlflow 库更新到 3.9.0 或更高版本。这将修复 `extract_archive_to_dir` 函数中的路径遍历漏洞。可以使用 pip 包管理器进行更新:`pip install mlflow --upgrade`。
常见问题
什么是 CVE-2025-15036?
CVE-2025-15036 是 MLflow 中的一个路径遍历漏洞,允许攻击者覆盖任意文件。
我是否受到 CVE-2025-15036 的影响?
如果您使用的 MLflow 版本低于或等于 3.9.0,则可能受到此漏洞的影响。
如何修复 CVE-2025-15036?
更新 MLflow 到 3.9.0 或更高版本以修复此漏洞。