找回密码
 注册创意安天

漏洞风险提示(20231122)

[复制链接]
发表于 2023-11-22 09:17 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache Submarine SnakeYaml 反序列化漏洞(CVE-2023-46302)
一、漏洞描述:
        Apache Submarine.jpg
        Apache Submarine是一个开源的机器学习(ML)框架,它是Apache Hadoop生态系统的一部分。Submarine旨在简化和加速大规模机器学习任务的开发和部署。
        Apache Submarine 在 0.7.0 版本中存在yaml反序列化漏洞。由于没有对用户输入进行过滤,攻击者可以利用漏洞进行反序列化利用,进行远程代码执行。

二、风险等级:
        高危
三、影响范围:
        Apache Submarine 0.7.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/submarine/tags


2 Honeywell PM43 打印机命令注入漏洞(CVE-2023-3710)
一、漏洞描述:
        Honeywell PM43.jpg
        Honeywell PM43是一款工业级标签打印机,通常用于生产、物流、零售和其他需要高效标签打印的应用场景。
        32 位 ARM(打印机网页模块)上的 Honeywell PM43 中存在不正确的输入验证漏洞,允许命令注入。此问题影响 P10.19.050004 之前的 PM43 版本。

二、风险等级:
        高危
三、影响范围:
        PM43 < P10.19.050004
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.honeywell.com/us/en/product-security


3 Mlflow 绝对路径遍历漏洞(CVE-2023-3765)
一、漏洞描述:
        mlflow.jpg
        MLflow是一个用于管理机器学习生命周期的开源平台。它提供了一组工具,可以帮助数据科学家和工程师跟踪实验、重现结果、部署模型并共享代码。
        MLflow是由Databricks公司开发并开源的,目前已经成为机器学习领域中最受欢迎的平台之一。mlflow 2.5.0之前的版本存在绝对路径遍历漏洞,攻击者可以通过该漏洞遍历目录,且可以任意下载、写入、删除文件。

二、风险等级:
        高危
三、影响范围:
         mlflow <= 2.5.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/mlflow/mlflow ... 324407919ed67668b9b


4 H2O 任意文件读取漏洞(CVE-2023-6038)
一、漏洞描述:
        H2O.jpg
        H2O 是一个开源、分布式、快速且可扩展的机器学习平台。
        攻击者无需任何身份验证即可读取h2o服务器上的任何文件。

二、风险等级:
        高危
三、影响范围:
        H2o-3 <= 3.40.0.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/h2oai/h2o-3

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 09:10

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表