CVE-2024-4460

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-4460
Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
CVSS

No CVSS.

References

No reference.

Configurations

No configuration.

History

17 Jul 2024, 11:15

Type Values Removed Values Added
References
  • {'url': 'https://github.com/zenml-io/zenml/commit/164cc09032060bbfc17e9dbd62c13efd5ff5771b', 'source': 'security@huntr.dev'}
  • {'url': 'https://huntr.com/bounties/a387c935-b970-44d7-bddc-71c1c90aa2de', 'source': 'security@huntr.dev'}
CVSS v2 : unknown
v3 : 4.3 		v2 : unknown
v3 : unknown
CWE CWE-400
Summary
  • (es) Existe una vulnerabilidad de denegación de servicio (DoS) en zenml-io/zenml versión 0.56.3 debido al manejo inadecuado de los caracteres de avance de línea (`\n`) en los nombres de los componentes. Cuando un usuario con pocos privilegios agrega un componente a través del endpoint API `api/v1/workspaces/default/components` con un nombre que contiene un carácter `\n`, genera un consumo incontrolado de recursos. Esta vulnerabilidad da como resultado la incapacidad de los usuarios para agregar nuevos componentes en ciertas categorías (por ejemplo, 'Creador de imágenes') y registrar nuevas pilas a través de la interfaz de usuario, lo que degrada la experiencia del usuario y potencialmente inutiliza el panel ZenML. El problema no afecta la adición de componentes a través de la interfaz de usuario web, ya que los caracteres `\n` se escapan correctamente en ese contexto. La vulnerabilidad se probó en ZenML ejecutándose en Docker y se observó en los navegadores Firefox y Chrome.
Summary (en) A denial of service (DoS) vulnerability exists in zenml-io/zenml version 0.56.3 due to improper handling of line feed (`\n`) characters in component names. When a low-privileged user adds a component through the API endpoint `api/v1/workspaces/default/components` with a name containing a `\n` character, it leads to uncontrolled resource consumption. This vulnerability results in the inability of users to add new components in certain categories (e.g., 'Image Builder') and to register new stacks through the UI, thereby degrading the user experience and potentially rendering the ZenML Dashboard unusable. The issue does not affect component addition through the Web UI, as `\n` characters are properly escaped in that context. The vulnerability was tested on ZenML running in Docker, and it was observed in both Firefox and Chrome browsers. (en) Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

24 Jun 2024, 12:57

Type Values Removed Values Added
Summary
  • (es) Existe una vulnerabilidad de denegación de servicio (DoS) en zenml-io/zenml versión 0.56.3 debido al manejo inadecuado de los caracteres de avance de línea (`\n`) en los nombres de los componentes. Cuando un usuario con pocos privilegios agrega un componente a través del endpoint API `api/v1/workspaces/default/components` con un nombre que contiene un carácter `\n`, genera un consumo incontrolado de recursos. Esta vulnerabilidad da como resultado la incapacidad de los usuarios para agregar nuevos componentes en ciertas categorías (por ejemplo, 'Creador de imágenes') y registrar nuevas pilas a través de la interfaz de usuario, lo que degrada la experiencia del usuario y potencialmente inutiliza el panel ZenML. El problema no afecta la adición de componentes a través de la interfaz de usuario web, ya que los caracteres `\n` se escapan correctamente en ese contexto. La vulnerabilidad se probó en ZenML ejecutándose en Docker y se observó en los navegadores Firefox y Chrome.

24 Jun 2024, 07:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-06-24 07:15

Updated : 2024-07-17 11:15

NVD link : CVE-2024-4460

Mitre link : CVE-2024-4460

CVE.ORG link : CVE-2024-4460

JSON object : View

Products Affected

No product.

CWE

No CWE.