GHSA-vf7j-cmrj-pmmm

Опубликовано: 27 фев. 2024

Источник: github

Github: Прошло ревью

CVSS4: 7.1

CVSS3: 6.5

Описание

ZenML Server Remote Privilege Escalation Vulnerability

ZenML Server in the ZenML package before 0.46.7 for Python allows remote privilege escalation because the /api/v1/users/{user_name_or_id}/activate REST API endpoint allows access on the basis of a valid username along with a new password in the request body. These are also patched versions: 0.44.4, 0.43.1, and 0.42.2.

Ссылки

Пакеты

Наименование

zenml

pip

Затронутые версииВерсия исправления

< 0.42.2

0.42.2

Наименование

zenml

pip

Затронутые версииВерсия исправления

= 0.43.0

0.43.1

Наименование

zenml

pip

Затронутые версииВерсия исправления

>= 0.45.0, < 0.46.7

0.46.7

Наименование

zenml

pip

Затронутые версииВерсия исправления

>= 0.44.0, < 0.44.4

0.44.4

EPSS

Процентиль: 99%

0.86837

Высокий

7.1 High

CVSS4

6.5 Medium

CVSS3

CVE ID

CVE-2024-25723

Дефекты

CWE-284

Связанные уязвимости

CVE-2024-25723

CVSS3: 8.8

nvd

почти 2 года назад

ZenML Server in the ZenML machine learning package before 0.46.7 for Python allows remote privilege escalation because the /api/v1/users/{user_name_or_id}/activate REST API endpoint allows access on the basis of a valid username along with a new password in the request body. These are also patched versions: 0.44.4, 0.43.1, and 0.42.2.

BDU:2024-05038

CVSS3: 6.3

fstec

около 2 лет назад

Уязвимость конечной точки прикладного программного интерфейса /api/v1/users/{user_name_or_id}/activate фреймворка создания конвейеров машинного обучения Zenml, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 99%

0.86837

Высокий

7.1 High

CVSS4

6.5 Medium

CVSS3

CVE ID

CVE-2024-25723

Дефекты

CWE-284