CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-37055
https://notcve.org/view.php?id=CVE-2024-37055
Deserialization of untrusted data can occur in versions of the MLflow platform running version 1.24.0 or newer, enabling a maliciously uploaded pmdarima model to run arbitrary code on an end user’s system when interacted with. La deserialización de datos que no son de confianza puede ocurrir en versiones de la plataforma MLflow que ejecutan la versión 1.24.0 o posterior, lo que permite que un modelo pmdarima cargado maliciosamente ejecute código arbitrario en el sistema de un usuario final cuando interactúa con él. • https://hiddenlayer.com/sai-security-advisory/mlflow-june2024 • CWE-502: Deserialization of Untrusted Data •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-37053
https://notcve.org/view.php?id=CVE-2024-37053
Deserialization of untrusted data can occur in versions of the MLflow platform running version 1.1.0 or newer, enabling a maliciously uploaded scikit-learn model to run arbitrary code on an end user’s system when interacted with. La deserialización de datos que no son de confianza puede ocurrir en versiones de la plataforma MLflow que ejecutan la versión 1.1.0 o posterior, lo que permite que un modelo scikit-learn cargado maliciosamente ejecute código arbitrario en el sistema de un usuario final cuando interactúa con él. • https://hiddenlayer.com/sai-security-advisory/mlflow-june2024 • CWE-502: Deserialization of Untrusted Data •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-37052
https://notcve.org/view.php?id=CVE-2024-37052
Deserialization of untrusted data can occur in versions of the MLflow platform running version 1.1.0 or newer, enabling a maliciously uploaded scikit-learn model to run arbitrary code on an end user’s system when interacted with. La deserialización de datos que no son de confianza puede ocurrir en versiones de la plataforma MLflow que ejecutan la versión 1.1.0 o posterior, lo que permite que un modelo scikit-learn cargado maliciosamente ejecute código arbitrario en el sistema de un usuario final cuando interactúa con él. • https://hiddenlayer.com/sai-security-advisory/mlflow-june2024 • CWE-502: Deserialization of Untrusted Data •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2023-6977 – Path Traversal: '\..\filename'
https://notcve.org/view.php?id=CVE-2023-6977
This vulnerability enables malicious users to read sensitive files on the server. Esta vulnerabilidad permite a usuarios malintencionados leer archivos confidenciales en el servidor. • https://github.com/mlflow/mlflow/commit/4bd7f27c810ba7487d53ed5ef1038fca0f8dc28c https://huntr.com/bounties/fe53bf71-3687-4711-90df-c26172880aaf • CWE-29: Path Traversal: '\..\filename' •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2023-6976 – Unrestricted Upload of File with Dangerous Type
https://notcve.org/view.php?id=CVE-2023-6976
This vulnerability is capable of writing arbitrary files into arbitrary locations on the remote filesystem in the context of the server process. Esta vulnerabilidad es capaz de escribir archivos arbitrarios en ubicaciones arbitrarias en el sistema de archivos remoto en el contexto del proceso del servidor. • https://github.com/mlflow/mlflow/commit/5044878da0c1851ccfdd5c0a867157ed9a502fbc https://huntr.com/bounties/2408a52b-f05b-4cac-9765-4f74bac3f20f • CWE-434: Unrestricted Upload of File with Dangerous Type •