ZenML 是一个功能强大且高度可扩展的开源 MLOps 框架，专为数据科学家和机器学习工程师打造，采用简洁而灵活的语法设计，确保与各种云服务和工具的兼容性，同时提供符合机器学习工作流需求的接口和抽象，帮助用户创建可移植的、可用于生产的机器学习管道。

漏洞详情
ZenML服务器远程权限提升漏洞（CVE-2024-25723）存在于Python的0.46.7之前的ZenML机器学习包中的ZenML服务,漏洞源于/*/{user_name_or_id}/activate REST API 端点允许基于有效用户名和请求正文中的新密码进行访问，可导致未授权用户远程权限提升，可直接重置任意ZenML账户密码。

影响范围
除补丁版本（0.44.4、0.43.1、0.42.2）外，所有低于 0.46.7 的 ZenML 版本

漏洞复现


修复建议
请前往官方补丁地址下载补丁或安装最新版，完成漏洞修复。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://www.zenml.io/blog/critical-security-update-for-zenml-users#vulnerability-details