Kubeflow Dashboard /api/workgroup/env-info 未授权访问漏洞

影响产品：kubeflow CVSS：6.0 漏洞类型：未授权访问 漏洞描述： Kubeflow是Google推出的开源机器学习工具包，旨在让Kubernetes上的机器学习工作流变得简单、可移植和可扩展。Kubeflow Central Dashboard是Kubeflow的核心管理界面，用于管理和监控机器学习工作流、实验和模型训练任务。Kubeflow Dashboard /api/workgroup/env-info 接口存在未授权访问漏洞，攻击者无需认证即可访问该接口获取系统环境信息和配置数据。 影响： Kubeflow Dashboard存在未授权访问漏洞。攻击者可利用该漏洞无需认证访问系统环境信息接口，获取集群配置、版本信息等敏感数据，可能进一步利用这些信息进行攻击。 修复建议： 1、在所有受保护的资源上添加认证检查。2、使用会话管理，验证用户权限。3、配置中间件进行统一的认证拦截。4、限制对/api/workgroup/env-info接口的访问权限。 FOFA： title="Kubeflow Central Dashboard"