محققان امنیت سایبری نزدیک به دوجین نقص امنیتی را در 15 پروژه منبع باز مرتبط با یادگیری ماشین (ML) کشف کردهاند.
شرکت امنیت زنجیره تامین نرم افزار JFrog در تحلیلی گفت: این شامل آسیبپذیریهایی است که هم در سمت سرور و هم در سمت کلاینت کشف شدهاند. نقصهای سمت سرور “به مهاجمان اجازه میدهد تا سرورهای مهم سازمان مانند رجیستری مدل ML، پایگاههای داده ML و ML pipeline را هک کنند. آسیبپذیریهایی که در Weave، ZenML، Deep Lake، Vanna.AI و Mage AI کشف شدهاند، به زیرمجموعههای گستردهتری تقسیم شدهاند که امکان هایجک از راه دور رجیستری مدل، چارچوبهای پایگاه داده ML و در اختیار گرفتن ML pipeline را فراهم میکنند.
شرح مختصری از نقصهای شناسایی شده در زیر آمده است:
◽CVE-2024-7340 (امتیاز CVSS: 8.8) آسیبپذیری پیمایش دایرکتوری در جعبه ابزار Weave ML (در نسخه 0.50.8 رفع شده است)
◽آسیبپذیری کنترل دسترسی نامناسب در چارچوب ZenML MLOps (بدون شناسه CVE)
◽CVE-2024-6507 (امتیاز CVSS: 8.1) آسیبپذیری تزریق فرمان در پایگاه داده مبتنی بر هوش مصنوعی Deep Lake (در نسخه 3.9.11 رفع شده است)
◽CVE-2024-5565 (امتیاز CVSS: 8.1) آسیبپذیری تزریق سریع در کتابخانه Vanna.AI
◽CVE-2024-45187 (امتیاز CVSS: 7.1) آسیبپذیری تخصیص سطح دسترسی نادرست به کاربران مهمان در چارچوب Mage AI
◽CVE-2024-45188، CVE-2024-45189 و CVE-2024-45190 (امتیاز CVSS: 6.5)، آسیبپذیریهای پیمایش مسیرهای متعدد در Mage AI
https://thehackernews.com/2024/11/security-flaws-in-popular-ml-toolkits.html
