CRITICAL🇬🇧 English

CVE-2024-24594

XSS w ClearML — wykonanie JavaScript przez zakładkę Debug Samples

CVSS 9.9v3.1pub. 2024-02-06upd. 2024-11-21

Krytyczna podatność typu cross-site scripting (XSS) w komponencie serwera webowego platformy ClearML firmy Allegro AI umożliwia zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary. Ze względu na zakres oddziaływania (zmieniony kontekst, wysoka integralność, poufność i dostępność) podatność uzyskała ocenę CVSS 9.9.

Pokaż oryginał (EN)

A cross-site scripting (XSS) vulnerability in all versions of the web server component of Allegro AI’s ClearML platform allows a remote attacker to execute a JavaScript payload when a user views the Debug Samples tab in the web UI.

🤖 Analiza AI
Jak działa

Atakujący, posiadający minimalny poziom uprawnień (uwierzytelniony użytkownik), może dostarczyć złośliwy payload, który jest następnie renderowany bez odpowiedniego oczyszczania w zakładce Debug Samples interfejsu webowego ClearML. Gdy inny użytkownik przegląda tę zakładkę, przeglądarka wykonuje osadzony kod JavaScript w kontekście aplikacji. Podatność działa zdalnie przez sieć, bez potrzeby interakcji po stronie atakującego poza początkowym przygotowaniem payloadu.

Skutki

Atakujący może przejąć sesję użytkownika, wykraść poufne dane (tokeny, dane uwierzytelniające, informacje o modelach ML), a w kontekście zmienionym (Scope:Changed) potencjalnie oddziaływać na zasoby wykraczające poza bezpośrednią sesję ofiary. Wysoka ocena wpływu na poufność, integralność i dostępność wskazuje na możliwość pełnego przejęcia kontroli nad kontem zaatakowanego użytkownika.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowe środki tymczasowe: ograniczenie dostępu do interfejsu webowego ClearML wyłącznie do zaufanych użytkowników oraz sieci wewnętrznych, monitorowanie aktywności w zakładce Debug Samples pod kątem anomalii.

Kogo dotyczy

Wszystkie wersje komponentu serwera webowego platformy Allegro AI ClearML (zgodnie z opisem: 'all versions of the web server component').

Uwagi

Podatność została opisana i upubliczniona przez zespół badawczy HiddenLayer w ramach badań nad bezpieczeństwem platform MLOps. Referencja wskazuje na szerszy kontekst zagrożeń dla łańcucha dostaw w środowiskach MLOps.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Clear Clearml

    APP
    Clear
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2024-24592CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w komponencie fileserver platformy ClearML

CVE-2024-24593CRITICAL9.6PL ✓ten sam produkt

CSRF w ClearML API Server — podszywanie się pod użytkownika

CVE-2024-24590HIGH8.0ten sam produkt

Deserialization of untrusted data can occur in versions 0.17.0 to 1.14.2 of the client SDK of Allegro AI’s Cle...

CVE-2024-24591HIGH8.0ten sam produkt

A path traversal vulnerability in versions 1.4.0 to 1.14.1 of the client SDK of Allegro AI’s ClearML platform ...

CVE-2024-24595MEDIUM6.0ten sam produkt

Allegro AI’s open-source version of ClearML stores passwords in plaintext within the MongoDB instance, resulti...