CVE-2024-27132

Опубликовано: 23 фев. 2024

Источник: nvd

CVSS3: 7.5

CVSS3: 9.6

EPSS Низкий

Описание

Insufficient sanitization in MLflow leads to XSS when running an untrusted recipe.

This issue leads to a client-side RCE when running an untrusted recipe in Jupyter Notebook.

The vulnerability stems from lack of sanitization over template variables.

Ссылки

https://github.com/mlflow/mlflow/pull/10873
Issue Tracking
Patch
https://research.jfrog.com/vulnerabilities/mlflow-untrusted-recipe-xss-jfsa-2024-000631930/
Exploit
Third Party Advisory
https://github.com/mlflow/mlflow/pull/10873
Issue Tracking
Patch
https://research.jfrog.com/vulnerabilities/mlflow-untrusted-recipe-xss-jfsa-2024-000631930/
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:*

Версия до 2.9.2 (включая)

EPSS

Процентиль: 46%

0.00234

Низкий

7.5 High

CVSS3

9.6 Critical

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-6749-m5cp-6cg7

CVSS3: 9.6

github

почти 2 года назад

Cross-site Scripting in MLFlow

BDU:2024-04534

CVSS3: 7.5

fstec

почти 2 года назад

Уязвимость платформы управления жизненным циклом моделей машинного обучения MLflow, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга

EPSS

Процентиль: 46%

0.00234

Низкий

7.5 High

CVSS3

9.6 Critical

CVSS3

Дефекты

CWE-79