Описание
Уязвимость платформы управления жизненным циклом моделей машинного обучения MLflow связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или получить полный контроль над системой
Вендор
LF Projects, LLC
Наименование ПО
MLflow
Версия ПО
до 2.2.1 (MLflow)
Тип ПО
ПО для разработки ИИ
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/mlflow/mlflow/commit/7162a50c654792c21f3e4a160eb1a0e6a34f6e6e
https://github.com/mlflow/mlflow/releases/tag/v2.2.1
https://mlflow.org/news/2023/03/02/2.2.1-release/index.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.93326
Критический
10 Critical
CVSS3
9.7 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.3
nvd
почти 3 года назад
Path Traversal: '\..\filename' in GitHub repository mlflow/mlflow prior to 2.2.1.
CVSS3: 9.8
github
почти 3 года назад
mlflow is vulnerable to remote file access in `mlflow server` and `mlflow ui` CLIs
EPSS
Процентиль: 100%
0.93326
Критический
10 Critical
CVSS3
9.7 Critical
CVSS2