Kasimir123

**Nome do software vulnerável e versões afetadas** Versões do sagemaker-python-sdk anteriores à 2.218.0 **Descrição** O problema diz respeito a uma deserialização potencialmente insegura no módulo sagemaker.base deserializers.NumpyDeserializer quando dados não confiáveis são passados como matrizes de objetos pickled. Isso pode permitir que um terceiro sem privilégios cause execução remota de código ou negação de serviço, afetando tanto a confidencialidade quanto a integridade. **Recomendações** Para versões anteriores à 2.218.0, atualize para a versão 2.218.0 para resolver o problema. Para usuários que não possam atualizar, não passe matrizes de objetos numpy pickled originadas de uma fonte não confiável ou que possam ter sido adulteradas. Passe apenas matrizes de objetos numpy pickled de fontes confiáveis.

**Nome do software vulnerável e versões afetadas** Versões do sagemaker-python-sdk anteriores à 2.214.3 **Descrição** A função `capture dependencies` no módulo `sagemaker.serve.save retrive.version 1 0 0.save.utils` permite uma injeção de comando no sistema operacional (SO) potencialmente insegura se um comando inadequado for passado como parâmetro `requirements path`. Isso pode permitir que um terceiro sem privilégios cause execução remota de código e negação de serviço, afetando tanto a confidencialidade quanto a integridade. **Recomendações** Para versões anteriores à 2.214.3, atualize para a versão 2.214.3 ou posterior. Como solução alternativa temporária para usuários que não possam atualizar, não substitua o parâmetro `requirements path` da função capture dependencies em `sagemaker.serve.save retrive.version 1 0 0.save.utils` e, em vez disso, use o valor padrão.