CVE-2025-8406 in ZenML
Tóm tắt
Bởi VulDB • 25/06/2026
ZenML phiên bản 0.83.1 bị ảnh hưởng bởi lỗ hổng path traversal trong lớp `PathMaterializer`. Hàm `load` sử dụng hàm kiểm tra `is_path_within_directory` để xác thực các tệp tin trong quá trình giải nén `data.tar.gz`, nhưng không phát hiện hiệu quả các liên kết tượng trưng (symbolic links) và liên kết cứng (hard links). Lỗ hổng này có thể dẫn đến việc ghi đè tùy ý vào các tệp, tiềm ẩn nguy cơ thực thi lệnh tùy ý nếu các tệp quan trọng bị ghi đè.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.