发布日期：2024-06-06
更新日期：2024-09-09

受影响系统：

ZenML zenml <= 0.55.5

描述：

---

CVE(CAN) ID: CVE-2024-2383

ZenML是一个可扩展的开源MLOps框架，用于创建可移植的、可用于生产的机器学习管道。

ZenML 0.55.5及之前版本存在点击劫持漏洞，该漏洞源于由于应用程序未能设置适当的X-Frame-Options或Content-Security-Policy HTTP标头，攻击者可利用此漏洞将应用程序UI嵌入恶意页面上的iframe中，可能导致未经授权的操作。



<**>

建议：

---

厂商补丁：

ZenML
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/zenml-io/zenml/commit/f863fde1269bc355951f8cfc826c0244d88ad5e9

浏览次数：224
严重程度：0（网友投票）