nvd
Clear
Уязвимости
10
Эксплуатируемые
0
Критический
2
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2024-24592Отсутствие аутентификации во всех версиях компонента fileserver платформы Allegro AI ClearML позволяет удаленному злоумышленнику произвольно получать доступ, создавать, изменять и удалять файлы.
CVE-2010-4507Множественные уязвимости межсайтовой подделки запросов (CSRF) в iSpot 2.0.0.0 R1679 и ClearSpot 2.0.0.0 R1512 и R1786 с прошивкой 1.9.9.4 позволяют удаленным злоумышленникам захватывать аутентификацию администраторов для запросов, которые (1) выполняют произвольные команды через параметр cmd в действии act_cmd_result для webmain.cgi, (2) включают удаленное управление через действие enable_remote_access act_network_set для webmain.cgi, (3) включают службу TELNET через действие ENABLE_TELNET act_set_wimax_etc_config для webmain.cgi, (4) включают сеансы TELNET через определенное действие act_network_set для webmain.cgi или (5) читают произвольные файлы через параметр FILE_PATH в действии act_file_download для upgrademain.cgi.
CVE-2024-24593Уязвимость подделки межсайтовых запросов (CSRF) во всех версиях до 1.14.1 компонента api server платформы Allegro AI ClearML позволяет удаленному злоумышленнику выдавать себя за пользователя, отправляя API-запросы через вредоносный html. Эксплуатация этой уязвимости позволяет злоумышленнику скомпрометировать конфиденциальные рабочие пространства и файлы, получить утечку конфиденциальной информации и нацелиться на экземпляры платформы ClearML в закрытых сетях.
CVE-2024-24591Уязвимость обхода пути в версиях с 1.4.0 по 1.14.1 клиентского SDK платформы Allegro AI ClearML позволяет злонамеренно загруженному набору данных записывать локальные или удаленные файлы в произвольное место в системе конечного пользователя при взаимодействии с ним.
CVE-2024-24590Десериализация ненадежных данных может произойти в версиях с 0.17.0 по 1.14.2 клиентского SDK платформы Allegro AI ClearML, что позволяет злонамеренно загруженному артефакту выполнять произвольный код в системе конечного пользователя при взаимодействии с ним.
CVE-2024-39272Уязвимость межсайтового скриптинга (XSS) существует в функционале загрузки наборов данных ClearML Enterprise Server 3.22.5-1533. Специально подготовленный HTTP-запрос может привести к произвольному HTML-коду. Атакующий может отправить серию HTTP-запросов для инициирования этой уязвимости.
CVE-2024-24595Версия ClearML с открытым исходным кодом от Allegro AI хранит пароли в виде открытого текста в экземпляре MongoDB, что приводит к тому, что скомпрометированный сервер раскрывает все адреса электронной почты и пароли пользователей.
CVE-2024-43779Уязвимость раскрытия информации существует в функционале API Vault сервера ClearML Enterprise 3.22.5-1533. Специально созданный HTTP-запрос может привести к чтению хранилищ, которые были ранее отключены, возможно, утечке чувствительных учетных данных. Злоумышленник может отправить серию HTTP-запросов для активации этой уязвимости.
CVE-2024-24594Уязвимость межсайтового скриптинга (XSS) во всех версиях компонента веб-сервера платформы Allegro AI ClearML позволяет удаленному злоумышленнику выполнить полезную нагрузку JavaScript, когда пользователь просматривает вкладку Debug Samples в веб-интерфейсе.
CVE-2023-6778Межсайтовый скриптинг (XSS) - Stored в репозитории GitHub allegroai/clearml-server до версии 1.13.0.