ZenML < 0.56.2 脆弱性 - CVE-2024-2035

medium Nessus プラグイン ID 213480

概要

リモートホストは、脆弱性の影響を受けます。

説明

リモートホストにインストールされている ZenML のバージョンは、 0.56.2より前の です。したがって、の影響を受けます。不適切な認証の脆弱性がAPIの/api/v1/users/idエンドポイントにあります。この脆弱性により、認証されたユーザーが、ユーザーアカウントの「アクティブ」ステータスを偽に変更することなど、他のユーザーの情報を変更する可能性があります。これにより、ユーザーアカウントが効果的に非アクティブ化されます。この脆弱性の影響は、管理者アカウントの非アクティブ化が可能になるために重大で、アプリケーションの機能とセキュリティを混乱させる可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ZenML バージョン 0.56.2 またはそれ以降にアップグレードしてください。

参考資料

https://huntr.com/bounties/1cfc6493-082e-4229-9f2f-496801a6557c

http://www.nessus.org/u?3d5824bb

プラグインの詳細

深刻度: Medium

ID: 213480

ファイル名: zenml_CVE-2024-2035.nasl

バージョン: 1.2

タイプ: combined

ファミリー: Artificial Intelligence

公開日: 2025/1/3

更新日: 2025/1/16

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 7.7

現状値: 6

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:N/I:C/A:C

CVSS スコアのソース: CVE-2024-2035

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:zenml:zenml

必要な KB アイテム: installed_sw/ZenML

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/6/6

脆弱性公開日: 2024/6/6

参照情報

CVE: CVE-2024-2035

CWE: 1220