CVE-2024-0520 in MLflow정보

요약

\~에 의해 VulDB • 2026. 05. 22.

mlflow/mlflow 버전 8.2.1의 취약점으로 인해 OS 명령어에서 사용되는 특수 요소의 부적절한 중화('명령어 인젝션')로 인해 원격 코드 실행이 가능합니다. 구체적으로, HTTP 스키마가 있는 소스 URL에서 데이터를 로드할 때, `Content-Disposition` 헤더 또는 URL 경로에서 추출된 파일명이 적절한 검사 없이 최종 파일 경로를 생성하는 데 사용됩니다. 이 결함으로 인해 공격자는 `../../tmp/poc.txt` 또는 `/tmp/poc.txt`와 같은 경로 순회 또는 절대 경로 기법을 활용하여 파일 경로를 완전히 제어할 수 있으며, 이는 임의의 파일 쓰기로 이어집니다. 이 취약점을 악용하면 악의적인 사용자가 취약한 기계에서 명령을 실행하여 데이터 및 모델 정보에 접근할 수 있습니다. 이 문제는 버전 2.9.0에서 수정되었습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

Huntr.dev

예약하다

2024. 01. 14.

모더레이션

수락

항목

VDB-267329

EPSS

0.02382

출처

Interested in the pricing of exploits?

See the underground prices here!