MLflow <2.9.2 路径遍历漏洞 (CVE-2023-6831)

漏洞类型 路径遍历 发现时间 2023-12-15 漏洞等级 严重
MPS编号 MPS-m397-puva CVE编号 CVE-2023-6831 漏洞影响广度 一般

漏洞危害

OSCS 描述
MLflow 是用于机器学习全生命周期管理的开源工具。
MLflow 2.9.2 之前版本中存在路径遍历漏洞。由于在mlflow/uri.py文件中的validate_path_is_safe方法未正确过滤url编码。攻击者可以通过url编码artifact_path参数绕过安全检查,向/mlflow-artifacts/artifacts路由发送恶意请求,读取或删除服务器中任意文件。

参考链接:https://www.oscs1024.com/hd/MPS-m397-puva

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围处置方式处置方法
mlflow (-∞, 2.9.2)升级将组件 mlflow 升级至 2.9.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-m397-puva

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-m397-puva

https://nvd.nist.gov/vuln/detail/CVE-2023-6831

https://github.com/mlflow/mlflow/commit/1da75dfcecd4d169e34809ade55748384e8af6c1

https://huntr.com/bounties/0acdd745-0167-4912-9d5c-02035fe5b314

(0)
上一篇 2023年12月18日 下午12:00
下一篇 2023年12月18日 下午12:00

相关推荐

  • Spring Kafka 反序列化漏洞 (CVE-2023-34040)

    漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危 MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度 小 漏洞危害 OSCS 描述 Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录…

    2023年8月25日
    0
  • Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危 MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 受影响版本中,由于 ObjectInput.java 文件中 readThrowable …

    2023年12月18日
    0
  • OpenRefine mysql jdbc url 远程代码执行漏洞 (CVE-2023-41887)

    漏洞类型 代码注入 发现时间 2023-09-13 漏洞等级 高危 MPS编号 MPS-mfdx-l1wn CVE编号 CVE-2023-41887 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenRefine(前称:Google Refine)是一个开源的数据清洗和数据转换工具。 OpenRefine 3.7.5之前版本中,由于 extensions/…

    2023年9月14日
    0
  • Microsoft Windows Themes 远程代码执行漏洞(POC公开) (CVE-2023-38146)

    漏洞类型 命令注入 发现时间 2023-09-15 漏洞等级 高危 MPS编号 MPS-ntyd-m53q CVE编号 CVE-2023-38146 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows操作系统上,.theme文件是一种用于定义桌面主题和外观设置的文件。 Windows11 受影响版本中存在远程代码执行漏洞。当.theme文件中引用了….

    2023年9月16日
    0
  • Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

    漏洞类型 输入验证不恰当 发现时间 2024-02-24 漏洞等级 严重 MPS编号 MPS-t2ir-al41 CVE编号 CVE-2024-23320 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Dolphinscheduler 是开源的分布式任务调度系统。 受影响版本中,由于 SwitchTaskUtils#generateConten…

    2024年2月26日
    0