Apache Submarine 存在反序列化漏洞(CVE-2023-46302)

admin
admin
admin
0
文章
0
评论
2023-11-29 18:32:37 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Apache Submarine 存在反序列化漏洞(CVE-2023-46302)

CVE编号

CVE-2023-46302

利用情况

暂无

补丁情况

N/A

披露时间

2023-10-22
漏洞描述
Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。 Apache Submarine在YamlEntityProvider.java中使用 snakeyaml 反序列化yaml 格式的请求。在请求如/api/v1/serve/的接口时,Apache Submarine使用的JAX-RS框架会查找到YamlEntityProvider.java里设置的消息转换器,并最终调用到readFrom函数里的 yaml.loadAs进行反序列化。 漏洞的修复方式为把 snakeyaml 组件替换成jackson-dataformat-yaml。
解决建议
"将 org.apache.submarine:submarine-server 升级至 0.8.0 及以上版本""将代码cherry-pick https://github.com/apache/submarine/pull/1054然后重新构建submart-server镜像完成修复"
参考链接
https://github.com/apache/submarine/pull/1054
https://issues.apache.org/jira/browse/SUBMARINE-1371
https://lists.apache.org/thread/zf0wppzh239j4h131hm1dbswfnztxrr5
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0