平台
python
组件
ml-logger
修复版本
255.0.1
CVE-2025-10951 描述了 geyang ml-logger 中一个路径遍历漏洞。该漏洞源于 mllogger/server.py 文件中 loghandler 函数对 File 参数的处理不当,允许攻击者通过操纵该参数实现路径遍历。受影响的版本包括 acf255bade5be6ad88d90735c8367b28cbe3a743 及更早版本。建议升级至 255.0.1 版本以修复此漏洞。
该路径遍历漏洞允许攻击者远程访问 ml-logger 服务器的文件系统。攻击者可以读取、写入甚至执行服务器上的任意文件,从而导致敏感信息泄露、恶意代码执行以及系统完全控制。由于该漏洞已公开 PoC,且 ml-logger 采用滚动发布模式,攻击风险较高。攻击者可能利用此漏洞获取服务器配置信息、数据库凭据或其他敏感数据,并进一步进行横向移动,影响整个网络环境。类似路径遍历漏洞在其他应用中也常被利用,例如读取服务器日志文件或修改配置文件。
该漏洞已公开 PoC,表明攻击者可以轻松利用该漏洞。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,存在被攻击的风险。该漏洞已添加到 CISA KEV 目录,表明其具有较高的安全风险。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations deploying ml-logger in production environments, particularly those handling sensitive data, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable. Shared hosting environments using ml-logger are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u ml-logger -g 'path traversal'• generic web:
curl -I <ml-logger-endpoint> | grep -i 'path traversal'disclosure
poc
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
CVSS 向量
针对 CVE-2025-10951,最有效的缓解措施是立即升级至 ml-logger 255.0.1 或更高版本。如果升级会导致系统中断,可以考虑回滚到之前的稳定版本,并尽快安排升级。在升级期间,建议实施严格的访问控制策略,限制对 ml-logger 服务器的访问。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以过滤包含路径遍历攻击模式的请求。监控 ml-logger 的日志文件,查找可疑的文件访问或修改行为。如果无法立即升级,建议对 log_handler 函数进行代码审查,并尝试修复漏洞。
Actualice la biblioteca ml-logger a una versión posterior a acf255bade5be6ad88d90735c8367b28cbe3a743. Si no hay una versión disponible, revise el código de la función log_handler en server.py y corrija la vulnerabilidad de path traversal, validando y sanitizando la entrada del argumento File.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-10951 是 geyang ml-logger (≤acf255bade5be6ad88d90735c8367b28cbe3a743) 中的一个路径遍历漏洞,攻击者可利用此漏洞访问服务器上的任意文件。
如果您正在使用 geyang ml-logger 的版本低于 255.0.1,则可能受到影响。请立即升级到最新版本。
建议升级至 ml-logger 255.0.1 或更高版本。如果无法升级,请实施访问控制策略并配置 WAF。
虽然目前尚未确认大规模利用,但由于已公开 PoC,存在被攻击的风险。
请访问 geyang 的官方网站或 GitHub 仓库,查找有关 CVE-2025-10951 的安全公告。
上传你的 requirements.txt 文件,立即知道是否受影响。