中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于MLflow任意文件读取漏洞(CVE-2023-6977)的安全告知

时间:2024-05-06 21:52:32来源:信息安全部作者:开yun体育官网入口

MLflow 是由 Apache Spark 技术团队开源的一个机器学习平台。

漏洞详情
MLflow 低于2.9.2版本存在任意文件读取漏洞(CVE-2023-6977),漏洞允许攻击者读取MLflow服务器上的敏感文件。攻击者可以通过利用此漏洞获取未经授权的访问权限,从而读取服务器上存储的敏感信息,可能导致隐私泄露、信息窃取以及其他潜在的安全问题。

影响范围
MLflow < 2.9.2

漏洞复现
image006-1.jpg
image010-1.jpg

修复建议
升级到安全版本。

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://github.com/mlflow/mlflow/commit/4bd7f27c810ba7487d53ed5ef1038fca0f8dc28c4

XML 地图