CVE-2025-1473

Опубликовано: 20 мар. 2025

Источник: nvd

CVSS3: 5.4

CVSS3: 7.1

EPSS Низкий

Описание

A Cross-Site Request Forgery (CSRF) vulnerability exists in the Signup feature of mlflow/mlflow versions 2.17.0 to 2.20.1. This vulnerability allows an attacker to create a new account, which may be used to perform unauthorized actions on behalf of the malicious user.

Ссылки

https://github.com/mlflow/mlflow/commit/ecfa61cb43d3303589f3b5834fd95991c9706628
Patch
https://huntr.com/bounties/43dc50b6-7d1e-41b9-9f97-f28809df1d45
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:*

Версия от 2.17.0 (включая) до 2.20.1 (исключая)

EPSS

Процентиль: 17%

0.00055

Низкий

5.4 Medium

CVSS3

7.1 High

CVSS3

Дефекты

CWE-352

Связанные уязвимости

GHSA-969w-gqqr-g6j3

CVSS3: 5.4

github

11 месяцев назад

MLflow Cross-Site Request Forgery (CSRF) vulnerability

EPSS

Процентиль: 17%

0.00055

Низкий

5.4 Medium

CVSS3

7.1 High

CVSS3

Дефекты

CWE-352