关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知

时间:2024-04-28 17:39:26来源:信息安全部作者:梦之想科技

ZenML 是一个功能强大且高度可扩展的开源 MLOps 框架,专为数据科学家和机器学习工程师打造,采用简洁而灵活的语法设计,确保与各种云服务和工具的兼容性,同时提供符合机器学习工作流需求的接口和抽象,帮助用户创建可移植的、可用于生产的机器学习管道。

漏洞详情
ZenML服务器远程权限提升漏洞(CVE-2024-25723)存在于Python的0.46.7之前的ZenML机器学习包中的ZenML服务,漏洞源于/*/{user_name_or_id}/activate REST API 端点允许基于有效用户名和请求正文中的新密码进行访问,可导致未授权用户远程权限提升,可直接重置任意ZenML账户密码。

影响范围
除补丁版本(0.44.4、0.43.1、0.42.2)外,所有低于 0.46.7 的 ZenML 版本

漏洞复现
image008.png

修复建议
请前往官方补丁地址下载补丁或安装最新版,完成漏洞修复。

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://www.zenml.io/blog/critical-security-update-for-zenml-users#vulnerability-details