Описание
Уязвимость функции safe_extract() платформы машинного обучения ClearML связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор
Allegro AI
Наименование ПО
ClearML
Версия ПО
2.0.1 (ClearML)
Тип ПО
ПО для разработки ИИ
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,8)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://github.com/allegroai/clearml/commit/64fb2bcbdbb87a74af90dd723d5ef4a99fceeb73
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 9%
0.00033
Низкий
5.8 Medium
CVSS3
6.2 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.8
nvd
4 месяца назад
A vulnerability in allegroai/clearml version v2.0.1 allows for path traversal due to improper handling of symbolic and hard links in the `safe_extract` function. This flaw can lead to arbitrary file writes outside the intended directory, potentially resulting in remote code execution if critical files are overwritten.
CVSS3: 5.8
github
4 месяца назад
clearml is vulnerable to Path Traversal through its `safe_extract` function
EPSS
Процентиль: 9%
0.00033
Низкий
5.8 Medium
CVSS3
6.2 Medium
CVSS2