バナーによると、リモートホストで実行中の BentoML のバージョンは、1.4.x < 1.4.8 です。したがって、ファイルアップロード処理におけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性の影響を受けます。「バナーによると、リモートでホストされている ZenML のバージョンは、不十分なセッションの有効期限の影響を受けます。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

根据其标题，远程主机上运行的 BentoML 版本为低于 1.4.8 的 1.4.x。因此，它受到文件上传处理中服务器端请求伪造 (SSRF) 漏洞的影响。根据其标题，远程主机上托管的 ZenML 版本受到不充分的会话到期影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

According to its banner, the version of BentoML running on the remote host is 1.4.x < 1.4.8. It is, therefore, affected by a Server-Side Request Forgery (SSRF) vulnerability in File Upload Processing. "According to its banner, the version of ZenML hosted on the remote is, affected by an Insufficient Session Expiration.

Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

根據其標題，遠端主機上執行的 BentoML 版本為低於 1.4.8 的 1.4.x。因此，它受到檔案上傳處理中的伺服器端要求偽造 (SSRF) 弱點的影響。根據其標題，遠端主機上主控的 ZenML 版本受到工作階段到期不足的影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

The version of ZenML installed on the remote host is prior to 0.56.3. It is, therefore, affected by a vulnerability which allows attackers to reuse old session credentials or session IDs due to insufficient session expiration. Specifically, the session does not expire after a password change, enabling an attacker to maintain access to a compromised account without the victim's ability to revoke this access. This issue was observed in a self-hosted ZenML deployment via Docker, where after changing the password from one browser, the session remained active and usable in another browser without requiring re-authentication.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

遠端主機上安裝的 ZenML 版本早於 0.56.3。因此，會受到一個弱點影響，其允許攻擊者因工作階段到期不足而重複使用舊的工作階段認證或工作階段 ID。具體而言，工作階段在密碼變更後並未過期，攻擊者可藉此維持對遭入侵帳戶的存取權，而受害者無法撤銷此存取。在透過 Docker 自我裝載的 ZenML 部署中發現此問題，如果一個瀏覽器變更密碼後，工作階段仍維持作用中狀態，並且可在另一個瀏覽器中使用，無需重新驗證。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

リモートホストにインストールされている ZenML のバージョンは、0.56.3 より前です。したがって、セッションの有効期限が不十分なために、攻撃者が古いセッション認証情報またはセッション ID を再利用する可能性がある脆弱性の影響を受けます。具体的には、パスワード変更後にセッションが期限切れにならないため、攻撃者は被害者がこのアクセスを取り消すことができなくても、侵害されたアカウントへのアクセスを維持できるようになります。この問題は Docker 経由のセルフホスト ZenML デプロイメントで確認され、あるブラウザでパスワードが変更された後に、再認証を必要とせずにセッションがアクティブなまま別のブラウザで使用可能でした。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

远程主机上安装的 ZenML 版本低于 0.56.3。因此，它受到一个漏洞的影响，由于会话未充分到期，该漏洞允许攻击者重新使用旧的会话凭据或会话 ID。具体来说，会话在密码更改后不会过期，从而使攻击者可以保持对已入侵帐户的访问权限，且受害者无法撤消此访问权限。在通过 Docker 的自托管 ZenML 部署中发现此问题，其中在从一个浏览器更改密码之后，会话将保持活动状态，并且无需重新认证即可在另一个浏览器中使用。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名稱	產品	系列	已發布	已更新	嚴重性
114937	ZenML の不十分なセッションの有効期限	Web App Scanning	Artificial Intelligence	2025/8/5	2025/8/5	low
114937	ZenML 不充分的会话到期	Web App Scanning	Artificial Intelligence	2025/8/5	2025/8/5	low
114937	ZenML Insufficient Session Expiration	Web App Scanning	Artificial Intelligence	2025/8/5	2025/8/5	low
114937	ZenML 工作階段期限不足	Web App Scanning	Artificial Intelligence	2025/8/5	2025/8/5	low
213483	ZenML < 0.56.3 Unpatched Session Expiration Exposure (CVE-2024-4680)	Nessus	Artificial Intelligence	2025/1/3	2025/1/16	high
213483	ZenML < 0.56.3 未修補的工作階段到期洩漏 (CVE-2024-4680)	Nessus	Artificial Intelligence	2025/1/3	2025/1/16	high
213483	ZenML < 0.56.3 パッチされていないセッション有効期限のエクスポージャー (CVE-2024-4680)	Nessus	Artificial Intelligence	2025/1/3	2025/1/16	high
213483	ZenML < 0.56.3 未安装修补程序会话过期泄露 (CVE-2024-4680)	Nessus	Artificial Intelligence	2025/1/3	2025/1/16	high

偵測

搜尋 Plugin

low

low

low

low

high

high

high

high