平台
java
组件
fedml
修复版本
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
CVE-2026-5535 是 FedML-AI FedML 在 0.8.0 到 0.8.9 版本中发现的一个路径遍历漏洞。攻击者可以通过操纵dataSet参数来访问系统中的敏感文件,可能导致信息泄露或系统被篡改。 尽管已尝试联系供应商,但未收到任何回应。
在 FedML-AI FedML 的 0.8.9 及更早版本中发现了一个路径遍历漏洞。此漏洞影响了 MQTT Message Handler 组件中 FileUtils.java 文件中的一个未知函数。攻击者可以通过操纵 'dataSet' 参数的数据来利用此漏洞,从而可能访问预期范围之外的文件和目录。由于其远程可利用性,此漏洞被评为高危。公开漏洞的发布大大增加了攻击的风险。供应商已尽早收到有关此披露的通知,但未作出响应,这阻碍了缓解工作。
该漏洞是通过操纵 MQTT Message Handler 组件中 FileUtils.java 文件中的 'dataSet' 参数来利用的。公开可用的漏洞允许远程攻击者访问底层文件系统上的任意文件。这是由于输入验证不足造成的。该漏洞的远程性质意味着攻击者不需要对系统进行物理访问。漏洞的公开可用性增加了利用尝试的可能性。供应商的缺乏响应加剧了情况,因为没有官方修复程序可用。
Organizations utilizing FedML for machine learning or data processing, particularly those deploying it in cloud environments or shared hosting setups, are at significant risk. Environments with weak input validation or inadequate network segmentation are especially vulnerable.
• java / server:
find /path/to/fedml/ -name "FileUtils.java"• java / server:
ps aux | grep -i "FedML"• generic web:
curl -I http://your-fedml-server/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
鉴于供应商缺乏响应,立即缓解具有挑战性。主要建议是升级到 FedML-AI 的已修复版本,一旦可用。同时,在托管 FedML-AI 的服务器上实施严格的访问控制,以限制对敏感文件的访问。积极监控系统日志,查找与文件处理相关的可疑活动。网络隔离可以将 FedML-AI 系统与其他关键资源隔离。供应商的沉默强调了健全的事件响应计划的重要性。
Actualice a una versión corregida de FedML que solucione la vulnerabilidad de recorrido de directorios en el manejo de mensajes MQTT. Consulte la documentación del proveedor o los registros de cambios para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
'路径遍历'允许攻击者通过在文件路径中使用诸如 '..' 之类的序列来访问预期范围之外的文件和目录。
实施严格的访问控制,监控系统日志并考虑网络隔离。
供应商的缺乏回应令人担忧,并阻碍了缓解工作。考虑直接联系供应商以表达您的担忧。
是的,漏洞的公开可用性表明它相对容易被利用。
运行 FedML-AI 0.8.9 及更早版本的任何系统都可能受到影响。评估您的基础设施以识别受影响的实例。
CVSS 向量
上传你的 pom.xml 文件,立即知道是否受影响。