漏洞风险提示(20231122)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache Submarine SnakeYaml 反序列化漏洞(CVE-2023-46302)
一、漏洞描述:
Apache Submarine是一个开源的机器学习(ML)框架,它是Apache Hadoop生态系统的一部分。Submarine旨在简化和加速大规模机器学习任务的开发和部署。
Apache Submarine 在 0.7.0 版本中存在yaml反序列化漏洞。由于没有对用户输入进行过滤,攻击者可以利用漏洞进行反序列化利用,进行远程代码执行。
二、风险等级:
高危
三、影响范围:
Apache Submarine 0.7.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/submarine/tags
2 Honeywell PM43 打印机命令注入漏洞(CVE-2023-3710)
一、漏洞描述:
Honeywell PM43是一款工业级标签打印机,通常用于生产、物流、零售和其他需要高效标签打印的应用场景。
32 位 ARM(打印机网页模块)上的 Honeywell PM43 中存在不正确的输入验证漏洞,允许命令注入。此问题影响 P10.19.050004 之前的 PM43 版本。
二、风险等级:
高危
三、影响范围:
PM43 < P10.19.050004
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.honeywell.com/us/en/product-security
3 Mlflow 绝对路径遍历漏洞(CVE-2023-3765)
一、漏洞描述:
MLflow是一个用于管理机器学习生命周期的开源平台。它提供了一组工具,可以帮助数据科学家和工程师跟踪实验、重现结果、部署模型并共享代码。
MLflow是由Databricks公司开发并开源的,目前已经成为机器学习领域中最受欢迎的平台之一。mlflow 2.5.0之前的版本存在绝对路径遍历漏洞,攻击者可以通过该漏洞遍历目录,且可以任意下载、写入、删除文件。
二、风险等级:
高危
三、影响范围:
mlflow <= 2.5.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/mlflow/mlflow/commit/6dde93758d42455cb90ef324407919ed67668b9b
4 H2O 任意文件读取漏洞(CVE-2023-6038)
一、漏洞描述:
H2O 是一个开源、分布式、快速且可扩展的机器学习平台。
攻击者无需任何身份验证即可读取h2o服务器上的任何文件。
二、风险等级:
高危
三、影响范围:
H2o-3 <= 3.40.0.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/h2oai/h2o-3
页:
[1]