Vulnerabilidad en mlflow/mlflow (CVE-2024-2928)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

06/06/2024

Última modificación:

11/10/2024

Descripción

Se identificó una vulnerabilidad de inclusión de archivos locales (LFI) en mlflow/mlflow, específicamente en la versión 2.9.2, que se solucionó en la versión 2.11.3. Esta vulnerabilidad surge de la falla de la aplicación al validar adecuadamente los fragmentos de URI para secuencias de directory traversal como &#39;../&#39;. Un atacante puede aprovechar esta falla manipulando la parte del fragmento del URI para leer archivos arbitrarios en el sistema de archivos local, incluidos archivos confidenciales como &#39;/etc/passwd&#39;. La vulnerabilidad es una omisión de un parche anterior que solo abordaba una manipulación similar dentro de la cadena de consulta del URI, destacando la necesidad de una validación integral de todas las partes de un URI para prevenir ataques LFI.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno