Informazioni sul CVE-2024-1560
Path Traversal Vulnerability in mlflow/mlflow
CWE ID: CWE-22
Base Score (CVSS): N/A
CVE: CVE-2024-1560
Descrizione: Una vulnerabilità di percorsi di percorsi esiste nel repository mlflow/mlflow, in particolare all’interno della funzionalità di cancellazione degli artefatti. Gli attaccanti possono aggirare la validazione dei percorsi sfruttando il processo di decodifica a doppio. Nel gestore `_delete_artifact_mlflow_artifacts` e nella funzione `local_file_uri_to_path`, l’operazione di decodifica extra in `delete_artifacts` e `local_artifact_repo.py` permette di cancellare directory arbitrarie sul filesystem del server. Questa vulnerabilità è dovuta a un’operazione di decodifica non corretta nel `delete_artifacts` della funzione `local_artifact_repo.py`, che non sanifica correttamente i percorsi forniti dall’utente. Questo problema è presente fino alla versione 2.9.2, nonostante siano state tentate delle modifiche simili in CVE-2023-6831.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- mlflow – mlflow/mlflow
Relazioni con altri prodotti
Produttore:mlflow
Prodotto: mlflow/mlflow
Anno: 2024
CWE: CWE-22
CVSS: 0.0