개요
머신 러닝 및 인공지능 개발을 위한 MLflow 및 ClearML Server 오픈 소스 플랫폼에서 최신 보안 업데이트가 공개되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
MLflow 2.9.2 이전 버전 및 ClearML Server 1.13.0 이전 버전
해결된 취약점
MLflow에서 발생하는 아티팩트 삭제 시 Path Traversal 취약점 (CVE-2023-6831)
MLflow에서 발생하는 Local File Disclosure bypass 취약점 (CVE-2023-6977)
MLflow에서 발생하는 jinja2 SSTI로 인한 원격 코드 실행 취약점 (CVE-2023-6709)
ClearML Server에서 발생하는 Stored XSS 취약점 (CVE-2023-6778)
취약점 패치
2023년 12월 15일 업데이트를 통해 취약점 패치가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트를 진행하시기 바랍니다.
참고 사이트
[1] https://github.com/mlflow/mlflow/releases/tag/v2.9.2
[2] https://github.com/allegroai/clearml-server/releases/tag/v1.13.0
[3] https://huntr.com/bounties/0acdd745-0167-4912-9d5c-02035fe5b314/
[4] https://huntr.com/bounties/fe53bf71-3687-4711-90df-c26172880aaf/
[5] https://huntr.com/bounties/9e4cc07b-6fff-421b-89bd-9445ef61d34d
[6] https://huntr.com/bounties/5f3fffac-0358-48e6-a500-81bac13e0e2b/