A path traversal vulnerability in versions 1.4.0 to 1.14.1 of the client SDK of Allegro AI’s ClearML platform enables a maliciously uploaded dataset to write local or remote files to an arbitrary location on an end user’s system when interacted with.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:HClear Clearml
APPClear1.4.0 – 1.14.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
Powiązane podatności
CVE-2024-24592CRITICAL9.8PL ✓ten sam produkt
Brak uwierzytelnienia w komponencie fileserver platformy ClearML
CVE-2024-24593CRITICAL9.6PL ✓ten sam produkt
CSRF w ClearML API Server — podszywanie się pod użytkownika
CVE-2024-24594CRITICAL9.9PL ✓ten sam produkt
XSS w ClearML — wykonanie JavaScript przez zakładkę Debug Samples
CVE-2024-24590HIGH8.0ten sam produkt
Deserialization of untrusted data can occur in versions 0.17.0 to 1.14.2 of the client SDK of Allegro AI’s Cle...
CVE-2024-24595MEDIUM6.0ten sam produkt
Allegro AI’s open-source version of ClearML stores passwords in plaintext within the MongoDB instance, resulti...