CVE-2024-1483 in mlflow
Riassunto
di VulDB • 21/06/2026
È presente una vulnerabilità di path traversal in mlflow/mlflow versione 2.9.2, che consente agli attaccanti di accedere a file arbitrari sul server. Mediante la creazione di una serie di richieste HTTP POST con parametri 'artifact_location' e 'source' appositamente manipolati, utilizzando un URI locale con '#' al posto di '?', un attaccante può attraversare la struttura delle directory del server. Il problema è causato da una validazione insufficiente dell'immissione fornita dall'utente nei gestori (handlers) del server.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.