CVE-2024-27134丨MLflow 中目录权限过多导致使用 spark_udf 时本地权限提升

2024年11月26日 204点热度 0人点赞 0条评论

CVE编号

CVE-2024-27134

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-25

MLflow中的目录权限过大，在使用spark_udf时会导致本地权限提升。这种行为可能被本地攻击者利用，通过利用Time-of-Check to Time-of-Use（ToCToU）攻击来获得更高的权限。这个问题仅在调用spark_udf() MLflow API时才会出现。

"将组件 mlflow 升级至 2.16.0 及以上版本"

参考链接
https://github.com/mlflow/mlflow/pull/10874