ГлавнаяБаза уязвимостей БДУ → BDU:2023-03995
10критическая

BDU:2023-03995 (CVE-2023-3765)

Уязвимость функции validate_path_is_safe() платформы управления жизненным циклом моделей машинного обучения MLflow, позволяющая нарушителю раскрыть защищаемую информацию или выполнить запись произвольных файлов
Опубликовано: 2023-07-25
Описание

Уязвимость функции validate_path_is_safe() платформы управления жизненным циклом моделей машинного обучения MLflow существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или выполнить запись произвольных файлов

Затрагиваемое ПО и версии
MLflow (до 2.5.0)
Способ устранения

Обновление программного обеспечения до версии 2.5.0 или выше

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/mlflow/mlflow/commit/6dde93758d42455cb90ef324407919ed67668b9bhttps://huntr.dev/bounties/4be5fd63-8a0a-490d-9ee1-f33dc768ed76/https://vuldb.com/ru/?id.235002https://www.mend.io/vulnerability-database/CVE-2023-3765https://security.snyk.io/vuln/SNYK-PYTHON-MLFLOW-5781352https://securityonline.info/cve-2023-3765-critical-flaw-in-open-source-machine-learning-development-mlflow/
Проверьте безопасность своего сайта и почты → Полная проверка домена