CVE-2024-24593 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Allegro ClearML 存在 **CSRF（跨站请求伪造）** 漏洞。 💥 **后果**：攻击者可伪造用户身份，通过恶意 HTML 发送 API 请求，导致 **数据泄露、篡改或系统被控**。 📉 **CVSS**：9.1 (Critical)，影响完整性、机密性和可用性。

🛡️ **CWE-352**：跨站请求伪造。 🔍 **缺陷点**：API 请求 **未正确验证 CSRF 令牌** 或来源。 ⚠️ **机制**：浏览器自动携带凭证，攻击者诱导用户访问恶意页面即可触发非法操作。

🏢 **厂商**：Allegro.AI。 📦 **产品**：ClearML（MLOps 解决方案）。 🎮 **背景**：Allegro 库常用于视频游戏和多媒体编程，但此漏洞特指 **ClearML** 组件。

🕵️ **权限**：冒充 **合法用户** 执行操作。 📂 **数据**：可访问或修改 **API 相关数据**。 💣 **范围**：由于 S:C (Scope Changed)，影响范围扩大，可能导致 **整个系统环境** 被破坏。

🚪 **认证**：用户需已 **登录** 系统（UI:R 需要用户交互）。 🌐 **网络**：远程攻击 (AV:N)。 🧠 **难度**：低 (AC:L)，只需诱导点击或访问恶意链接，无需复杂配置。

📜 **PoC**：数据中未提供具体 PoC 代码。 🌍 **在野**：参考链接提及供应链风险，但未明确标注 **已广泛在野利用**。 ⚠️ **注意**：攻击方式简单（恶意 HTML），利用门槛低，存在潜在滥用风险。

🔍 **自查**：检查 ClearML API 端点是否 **缺少 CSRF 保护**。 📋 **特征**：关注无 Token 验证的 **状态改变请求**（POST/PUT/DELETE）。 🛠️ **工具**：使用 Burp Suite 等工具测试请求是否可被伪造。

📅 **发布时间**：2024-02-06。 🔧 **补丁**：数据中未提供具体补丁版本或修复链接。 📢 **建议**：立即查阅 **Allegro.AI 官方公告** 获取最新修复版本。

🚫 **临时规避**：实施严格的 **CORS 策略**，限制跨域请求。 🔒 **验证**：在网关层强制验证 **CSRF Token** 或 **Origin 头**。 👥 **权限**：最小化 API 权限，避免高权限账户日常使用。

🔥 **优先级**：**极高** (CVSS 9.1)。 ⚡ **行动**：立即评估受影响实例，优先应用 **官方补丁**。 📉 **风险**：MLOps 供应链风险高，一旦中招可能导致 **模型数据污染** 或 **基础设施失控**。