中危 MLflow < 2.9.2 任意文件读取漏洞(CVE-2023-6977)

CVE编号

CVE-2023-6977

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-12-20
漏洞描述
MLflow 是由 Apache Spark 技术团队开源的一个机器学习平台。该漏洞使恶意用户能够读取服务器上的敏感文件。攻击者可以通过利用此漏洞获取未经授权的访问权限,从而读取服务器上存储的敏感信息,可能导致隐私泄露、信息窃取以及其他潜在的安全问题。为了防止此漏洞被利用,建议及时修补和加固受影响的服务器。

安全版本
2.9.2
解决建议
官方已发布安全更新,建议升级至最新版本。
参考链接
https://github.com/mlflow/mlflow/commit/4bd7f27c810ba7487d53ed5ef1038fca0f8dc28c
https://huntr.com/bounties/fe53bf71-3687-4711-90df-c26172880aaf
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 lfprojects mlflow * From
(including)
1.0.0 		Up to
(excluding)
2.9.2
阿里云评分
6.9
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-29 路径遍历:'..\filename'
阿里云安全产品覆盖情况