Google · Tensorflow · CVE-2022-29216
**Nome do software vulnerável e versões afetadas**
Versões do TensorFlow anteriores à 2.9.0
Versões do TensorFlow anteriores à 2.8.1
Versões do TensorFlow anteriores à 2.7.2
Versões do TensorFlow anteriores à 2.6.4
**Descrição**
O TensorFlow é uma plataforma de código aberto para aprendizado de máquina. A ferramenta `saved model cli` está vulnerável a uma injeção de código, que pode ser usada para abrir um shell reverso. Esse caminho de código foi mantido por motivos de compatibilidade, já que os mantenedores tinham vários casos de teste em que expressões numpy eram usadas como argumentos. No entanto, como a ferramenta é sempre executada manualmente, o impacto disso ainda não é grave. Os mantenedores removeram agora o argumento `safe=False`, de modo que toda a análise sintática é feita sem chamar `eval`.
**Recomendações**
Para versões anteriores à 2.9.0, atualize para a versão 2.9.0 ou posterior.
Para versões anteriores à 2.8.1, atualize para a versão 2.8.1 ou posterior.
Para versões anteriores à 2.7.2, atualize para a versão 2.7.2 ou posterior.
Para versões anteriores à 2.6.4, atualize para a versão 2.6.4 ou posterior.