开源软件又出大事件,人工智能存在十几个可利用漏洞(2024.2.1)
在刚刚过去的一个月里,人工智能和机器学习的Huntr漏洞赏金平台的成员在MLflow、ClearML和Hugging Face等知名解决方案中,发现了一些严重的安全漏洞。这些漏洞的CVSS得分均为10分,其中最严重的是MLflow中的四个关键问题。MLflow是一个简化机器学习开发的平台,提供了一套支持现有机器学习应用程序和库的API。
其中一个被追踪为CVE-2023-6831的漏洞,源自工件删除的路径遍历错误。该错误在使用前对路径进行规范化的过程中出现,使得攻击者能够绕过验证检查,删除服务器上的任何文件。第二个漏洞CVE-2024-0520存在于mlflow.data模块中,可以被精心设计的数据集滥用,生成未经清理的文件路径,从而让攻击者能够访问信息、覆盖文件,甚至实现远程代码执行(RCE)。
另外两个严重缺陷CVE-2023-6977和CVE-2023-6709也被发现。前者被描述为路径验证绕过,可能允许攻击者读取服务器上的敏感文件;后者则可能导致在加载恶意软件时远程执行代码。
除此之外,Hugging Face Transformers中也发现了一个严重缺陷,该工具用于构建机器学习应用程序。该问题CVE-2023-7018的出现是因为用于从远程存储库自动加载vocab.pkl文件的函数没有实施任何限制,这可能让攻击者加载恶意文件并实现RCE。Transformers版本4.36已经解决了这个问题
Huntr社区的成员还发现ClearML中存在高严重性的存储跨站脚本(XSS)缺陷。该问题被追踪为CVE-2023-6778,是在项目描述和报告部分的Markdown编辑器组件中发现的。如果将未经过滤的数据传递给该组件,攻击者可能注入恶意XSS有效负载,导致用户帐户泄露。
(CVE-2024-0521)是一个严重的安全漏洞,需要采取紧急措施进行修复。对于这类安全漏洞,建议用户尽快采取相应的补救措施,并加强系统的安全性。
Checode SCA 已经收录了以上漏洞信息和解决方法。Checode SCA 每天从全球漏洞库中更新和升级
我们的开源软件漏洞库,始终保持与时俱进,获取最新的漏洞信息和修复方案,为您的数据安全保驾护航。
其中一个被追踪为CVE-2023-6831的漏洞,源自工件删除的路径遍历错误。该错误在使用前对路径进行规范化的过程中出现,使得攻击者能够绕过验证检查,删除服务器上的任何文件。第二个漏洞CVE-2024-0520存在于mlflow.data模块中,可以被精心设计的数据集滥用,生成未经清理的文件路径,从而让攻击者能够访问信息、覆盖文件,甚至实现远程代码执行(RCE)。
