Allegro AI 的 ClearML 平台 api server 组件在所有版本（包括 1.14.1）中存在跨站请求伪造 (CSRF) 漏洞，允许远程攻击者通过发送 AP 冒充用户。

该 CSRF 漏洞允许攻击者在受影响的 ClearML 平台上执行未经授权的操作，而无需用户知情。攻击者可以利用此漏洞冒充用户，访问和修改敏感数据，例如工作区和文件。这可能导致数据泄露、配置更改，甚至可能允许攻击者在封闭网络中控制 ClearML 平台实例。攻击者可以通过诱骗用户访问恶意构造的网页来利用此漏洞，该网页会向 ClearML API 发送未经授权的请求。由于漏洞影响了所有版本（0–1.14.2），因此部署 ClearML 平台的组织面临着显著的安全风险。

Organizations utilizing ClearML for machine learning experiment tracking and management are at risk. This includes teams managing sensitive data within ClearML workspaces, particularly those operating within closed or isolated network environments. Users who have not implemented robust authentication and authorization controls are also at increased risk.

• python / server:

# Check for ClearML version
import requests
import json

url = 'http://your-clearml-server/api/v1/info'

try:
    response = requests.get(url)
    response.raise_for_status()
    data = response.json()
    version = data.get('version', 'Unknown')
    print(f'ClearML Version: {version}')
    if version and float(version) < 1.14.2:
        print('VULNERABLE: ClearML version is less than 1.14.2')
    else:
        print('ClearML version is patched.')
except requests.exceptions.RequestException as e:
    print(f'Error connecting to ClearML server: {e}')

1. 2024-02-06Disclosure

   disclosure

1. 已保留2024-01-25
2. 发布日期2024-02-06
3. 修改日期2025-06-17
4. EPSS 更新日期2026-04-02

解决 CVE-2024-24593 的主要方法是升级 ClearML 平台至 1.14.2 或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以实施严格的访问控制策略，限制用户对敏感工作区和文件的访问。此外，可以考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止 CSRF 攻击。虽然 WAF 并非万无一失的解决方案，但它可以提供额外的保护层。升级后，请验证新版本是否已成功部署，并确认 CSRF 漏洞已得到修复。