MLflow<2.9.1 存在SSTI漏洞(CVE-2023-6709)
CVE编号
CVE-2023-6709利用情况
暂无补丁情况
N/A披露时间
2023-12-12漏洞描述
MLflow 是用于管理机器学习生命周期的开源平台,recipes 是用于快速构建模型的框架。 MLflow 之前版本中由于直接使用 jinja2 模版引擎加载用户可控的模版配置文件构建 recipes 框架,当加载攻击者可控的恶意的配置文件时会受到SSTI注入攻击,攻击者可在远程主机执行任意代码。 2.9.1版本通过使用 SandboxedEnvironment 沙箱环境加载配置文件修复此漏洞。解决建议
"升级mlflow到 2.9.1 或更高版本"
参考链接 |
|
|---|---|
| https://github.com/mlflow/mlflow/commit/432b8ccf27fd3a76df4ba79bb1bec62118a85625 | |
| https://huntr.com/bounties/9e4cc07b-6fff-421b-89bd-9445ef61d34d |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | lfprojects | mlflow | * | Up to (excluding) 2.9.2 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-1336 | Improper Neutralization of Special Elements Used in a Template Engine |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论