CVE-2023-3765

Опубликовано: 19 июл. 2023

Источник: nvd

CVSS3: 10

EPSS Критический

Описание

Absolute Path Traversal in GitHub repository mlflow/mlflow prior to 2.5.0.

Ссылки

https://github.com/mlflow/mlflow/commit/6dde93758d42455cb90ef324407919ed67668b9b
Patch
https://huntr.dev/bounties/4be5fd63-8a0a-490d-9ee1-f33dc768ed76
Exploit
Patch
Third Party Advisory
https://github.com/mlflow/mlflow/commit/6dde93758d42455cb90ef324407919ed67668b9b
Patch
https://huntr.dev/bounties/4be5fd63-8a0a-490d-9ee1-f33dc768ed76
Exploit
Patch
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:*

Версия до 2.5.0 (исключая)

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 100%

0.92096

Критический

10 Critical

CVSS3

10 Critical

CVSS3

Дефекты

CWE-36

Связанные уязвимости

GHSA-fmxj-6h9g-6vw3

CVSS3: 10

github

больше 2 лет назад

MLflow Path Traversal vulnerability

BDU:2023-03995

CVSS3: 10

fstec

больше 2 лет назад

Уязвимость функции validate_path_is_safe() платформы управления жизненным циклом моделей машинного обучения MLflow, позволяющая нарушителю раскрыть защищаемую информацию или выполнить запись произвольных файлов

EPSS

Процентиль: 100%

0.92096

Критический

10 Critical

CVSS3

10 Critical

CVSS3

Дефекты

CWE-36