GHSA-6749-m5cp-6cg7

Опубликовано: 24 фев. 2024

Источник: github

Github: Прошло ревью

CVSS3: 9.6

Описание

Cross-site Scripting in MLFlow

Insufficient sanitization in MLflow leads to XSS when running an untrusted recipe.

This issue leads to a client-side RCE when running an untrusted recipe in Jupyter Notebook.

The vulnerability stems from lack of sanitization over template variables.

Ссылки

Пакеты

Наименование

mlflow

pip

Затронутые версииВерсия исправления

< 2.10.0

2.10.0

EPSS

Процентиль: 46%

0.00234

Низкий

9.6 Critical

CVSS3

CVE ID

CVE-2024-27132

Дефекты

CWE-79

Связанные уязвимости

CVE-2024-27132

CVSS3: 7.5

nvd

почти 2 года назад

Insufficient sanitization in MLflow leads to XSS when running an untrusted recipe. This issue leads to a client-side RCE when running an untrusted recipe in Jupyter Notebook. The vulnerability stems from lack of sanitization over template variables.

BDU:2024-04534

CVSS3: 7.5

fstec

почти 2 года назад

Уязвимость платформы управления жизненным циклом моделей машинного обучения MLflow, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга

EPSS

Процентиль: 46%

0.00234

Низкий

9.6 Critical

CVSS3

CVE ID

CVE-2024-27132

Дефекты

CWE-79