CVE-2024-37061

ALT: (8,8)

CVSS3: 7,7

MLflow MLflow podria permetre que un atacant remot executi codi arbitrari al sistema, causat per una vulnerabilitat d’injecció de codi dins del procediment d’execució del projecte ML a la funció _run_entry_point, dins del fitxer projects/backend/local.py. En empaquetar un projecte MLflow que conté un fitxer YAML MLproject dissenyat especialment, un atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari a la màquina víctima.

Sistemes Afectats

• MLflow MLflow 1.11.0

Remediació
No hi ha cap recurs disponible a partir del 4 de juny del 2024.

Referències

• Remote Code Execution on Local System via MLproject YAML File
• Remote Code Execution can occur in versions of the MLflow platform running version 1.11.0 or newer, enabling a maliciously crafted MLproject to execute arbitrary code on an end user’s system when run.