发布日期：2024-06-30
更新日期：2024-10-16

受影响系统：

zenml-io/zenml zenml-io/zenml 0.57.1

描述：

---

CVE(CAN) ID: CVE-2024-5062

zenml-io/zenml是一个可扩展的开源MLOps框架，用于创建可移植的、可用于生产的机器学习管道。
zenml-io/zenml 0.57.1版本存在跨站脚本漏洞，该漏洞源于程序在web页面生成时未正确中和输入，攻击者可利用该漏洞在无需验证重定向参数的情况下将用户重定向至特定的URL，进而在用户浏览器会话环境中执行任意代码并窃取cookie。

<**>

建议：

---

厂商补丁：

zenml-io/zenml
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/zenml-io/zenml/commit/21edd863c0ba53c1110b6f018a07c2d6853cf6d4

浏览次数：269
严重程度：0（网友投票）