Informazioni sul CVE-2024-3099
Denial of Service and Data Model Poisoning via URL Encoding in mlflow/mlflow
CWE ID: CWE-475
Base Score (CVSS): N/A
CVE: CVE-2024-3099
Descrizione: Una vulnerabilità in mlflow/mlflow versione 2.11.1 consente agli attaccanti di creare più modelli con lo stesso nome sfruttando l’encoder URL. Questo difetto può portare a un Denial of Service (DoS) come un utente autenticato potrebbe non essere in grado di utilizzare il modello inteso, poiché aprirà un modello diverso ogni volta. Inoltre, un attaccante può sfruttare questa vulnerabilità per eseguire l’inquinamento dei modelli di dati, creando un modello con lo stesso nome, potenzialmente causando che un utente autenticato diventi una vittima utilizzando il modello avvelenato. Il problema deriva da una convalida inadeguata dei nomi dei modelli, consentendo la creazione di modelli con nomi codificati in URL che vengono trattati come distinti dai loro decodificati.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- mlflow – mlflow/mlflow
Relazioni con altri prodotti
Produttore:mlflow
Prodotto: mlflow/mlflow
Anno: 2024
CWE: CWE-475
CVSS: 0.0