ГлавнаяБаза уязвимостей БДУ → BDU:2023-01735
9.7критическая

BDU:2023-01735

Уязвимость платформы управления жизненным циклом моделей машинного обучения MLflow, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или получить полный контроль над системой
Опубликовано: 2023-03-30
Описание

Уязвимость платформы управления жизненным циклом моделей машинного обучения MLflow связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или получить полный контроль над системой

Затрагиваемое ПО и версии
MLflow (до 2.2.1)
Способ устранения

Использование рекомендаций:
https://github.com/mlflow/mlflow/commit/7162a50c654792c21f3e4a160eb1a0e6a34f6e6e
https://github.com/mlflow/mlflow/releases/tag/v2.2.1
https://mlflow.org/news/2023/03/02/2.2.1-release/index.html

Оценка CVSS
Балл9.7 — критическая опасность
Источники и патчи
https://github.com/mlflow/mlflow/commit/7162a50c654792c21f3e4a160eb1a0e6a34f6e6ehttps://huntr.dev/bounties/1fe8f21a-c438-4cba-9add-e8a5dab94e28
Проверьте безопасность своего сайта и почты → Полная проверка домена