Informazioni sul CVE-2024-8859

Path Traversal in mlflow/mlflow

CWE ID: CWE-29

Base Score (CVSS): N/A

CVE: CVE-2024-8859

Descrizione: A path traversal vulnerability exists in mlflow/mlflow version 2.15.1. When users configure and use the dbfs service, concatenating the URL directly into the file protocol results in an arbitrary file read vulnerability. This issue occurs because only the path part of the URL is checked, while parts such as query and parameters are not handled. The vulnerability is triggered if the user has configured the dbfs service, and during usage, the service is mounted to a local directory.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

Prodotti interessati

mlflow – mlflow/mlflow

Relazioni con altri prodotti

Produttore:mlflow
Prodotto: mlflow/mlflow
Anno: 2024
CWE: CWE-29
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)