Base de datos de vulnerabilidadesCVE-2025-10951

CVE-2025-10951:
Python Análisis y mitigación de vulnerabilidades

Vista general

A path traversal vulnerability was identified in geyang ml-logger version 0.10.36 and prior, specifically in the loghandler function of mllogger/server.py. The vulnerability allows unauthenticated users to upload and overwrite files on the server through directory traversal. The issue was discovered and disclosed in September 2025 (NVD, VulDB).

Técnicas

The vulnerability exists in the loghandler function within mllogger/server.py, which processes file uploads without proper validation. The function accepts any file upload request and processes it without validating the filename or implementing proper access controls. The vulnerability has received a CVSS v3.1 score of 7.3 (HIGH) with vector string CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L, indicating remote exploitability with no authentication required (NVD).

Impacto

The vulnerability allows attackers to write and overwrite any file on the server. This could lead to serious security compromises such as overwriting SSH authorized_keys files or modifying scheduled task files (crontab) to achieve remote code execution. The impact extends to potential system compromise and unauthorized access to server resources (GitHub).

Mitigación y soluciones alternativas

Security researchers recommend implementing proper file type validation before upload and preventing the use of directory traversal sequences (such as ../) in filenames. Users should upgrade to a patched version when available or implement strict input validation at the application level (GitHub).

Recursos adicionales

Fuente: Este informe se generó utilizando IA

Visualización de instancias vulnerables

¿No eres cliente de Wiz? Vea qué CVE se pueden explotar en su entorno.

Obtenga una evaluación de CVE

6.9

Puntuación

Publicado September 25, 2025

Severidad MEDIUM

Puntuación CNA 6.9

Tecnologías afectadas

Python

Tiene exploit público No

Tiene el exploit CISA KEV No

Fecha de lanzamiento de CISA KEV N/A

Fecha de vencimiento de CISA KEV N/A

Percentil de probabilidad de explotación (EPSS) 18.3

Probabilidad de Explotación (EPSS) 0.1

Paquetes y bibliotecas afectados

ml-logger

Fuentes

NVD
GitHub Advisory Database
- pip Severidad MEDIUMNo hay soluciónAñadido en:Sep 28, 2025

Obtén una evaluación de riesgo CVE

Obtén una vista priorizada de los CVEs en tu nube, para que puedas centrarte en lo que es explotable, no solo en lo que está listado.

Solicitar evaluación

Relacionado Python Vulnerabilidades:

CVE ID	Severidad	Puntuación	Tecnologías	Nombre del componente	Exploit de CISA KEV	Tiene arreglo	Fecha de publicación
CVE-2025-7647	HIGH	7.3	Python	llama-index-core	No	Sí	Sep 27, 2025
CVE-2025-10951	MEDIUM	6.9	Python	ml-logger	No	No	Sep 25, 2025
CVE-2025-59940	MEDIUM	6.5	Python	mkdocs-include-markdown-plugin	No	Sí	Sep 29, 2025
CVE-2025-10952	MEDIUM	5.5	Python	ml-logger	No	No	Sep 25, 2025
CVE-2025-10950	MEDIUM	5.3	Python	ml-logger	No	No	Sep 25, 2025

Evaluación gratuita de vulnerabilidades

Compare su postura de seguridad en la nube

Evalúe sus prácticas de seguridad en la nube en 9 dominios de seguridad para comparar su nivel de riesgo e identificar brechas en sus defensas.

Solicitar evaluación

Recursos adicionales de Wiz

Obtén una demostración personalizada

¿Listo para ver a Wiz en acción?

"La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube."

David EstlickCISO

"Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube."

Adam FletcherJefe de Seguridad

"Sabemos que si Wiz identifica algo como crítico, en realidad lo es."

Greg PoniatowskiJefe de Gestión de Amenazas y Vulnerabilidades

Solicita una demo

CVE-2025-10951: Python Análisis y mitigación de vulnerabilidades