Tong Liu

Name of the Vulnerable Software and Affected Versions: NVIDIA NeMo Framework (affected versions not specified) Description: The NVIDIA NeMo Framework contains an issue in the export and deploy component that could allow an attacker to inject code via malicious data. A successful exploit may lead to code execution, privilege escalation, information disclosure, and data tampering. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado ao acesso fora dos limites (OOB) em `paddle.mode` dentro do PaddlePaddle. Essa falha pode causar uma falha de execução e uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema consiste em um estouro de pilha na função `paddle.searchsorted`. Essa falha pode levar a uma negação de serviço ou a consequências potencialmente mais graves. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `paddle.searchsorted` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado a uma falha na função `paddle.topk`, que pode causar uma falha de execução e uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.topk` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado a uma falha na função `paddle.lerp`, que pode causar uma falha no tempo de execução e uma negação de serviço. Essa falha pode levar a uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.lerp` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema consiste em um estouro de pilha na função `paddle.linalg.lu unpack`, o que pode levar a uma negação de serviço ou a consequências potencialmente mais graves. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.linalg.lu unpack` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado a uma falha no `paddle.amin` que pode causar uma falha de execução e uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** Existe uma falha de estouro de buffer de heap na função `paddle.repeat interleave`. Esse problema pode levar a uma negação de serviço, divulgação de informações ou danos potencialmente mais graves. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.repeat interleave` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado a uma falha na função `paddle.nanmedian`, que pode causar uma falha no tempo de execução e uma negação de serviço. Essa falha pode levar a uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.nanmedian` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** Este problema pode causar uma falha no tempo de execução e uma negação de serviço. Está relacionado a uma falha na função `paddle.linalg.matrix rank`. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.linalg.matrix rank` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** Este problema está relacionado a um ponteiro nulo no arquivo paddle.dot, o que pode causar uma falha de execução e uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado a uma falha na função `paddle.linalg.eig` do PaddlePaddle, que pode causar uma falha no tempo de execução e uma negação de serviço. Essa falha pode levar ao bloqueio do tempo de execução e a uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.linalg.eig` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado a um `nullptr` no `paddle.nextafter` do PaddlePaddle, o que pode causar uma falha no tempo de execução e uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `paddle.nextafter` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PaddlePaddle anteriores à 2.6.0 **Descrição** O problema está relacionado a um `nullptr` na função `paddle.put along axis` do PaddlePaddle, o que pode causar uma falha no tempo de execução e uma negação de serviço. **Recomendações** Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `paddle.put along axis` até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** PaddlePaddle versions prior to 2.5.0 **Description** The issue is related to a use after free condition in the `paddle.diagonal` function. This resulted in a potentially exploitable condition. **Recommendations** For versions prior to 2.5.0, update to version 2.5.0 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** PaddlePaddle versions prior to 2.5.0 **Description** The issue is a null pointer dereference in the `paddle.flip` function, which results in a runtime crash and denial of service. **Recommendations** For versions prior to 2.5.0, update to version 2.5.0 or later to resolve the issue. As a temporary workaround, consider disabling the `paddle.flip` function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** PaddlePaddle versions prior to 2.5.0 **Description** The issue is related to a heap buffer overflow in paddle.trace, which can lead to a denial of service, information disclosure, or potentially more severe damage. **Recommendations** For versions prior to 2.5.0, update to version 2.5.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the paddle.trace component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** PaddlePaddle versions prior to 2.5.0 **Description** The issue is related to a flaw that can cause a runtime crash and a denial of service. It is associated with FPE in paddle.trace and paddle.linalg.matrix power in PaddlePaddle. **Recommendations** For versions prior to 2.5.0, update to version 2.5.0 or later to resolve the issue. As a temporary workaround, consider disabling the `paddle.trace` and `paddle.linalg.matrix power` functions until a patch is available.

**Nome do software vulnerável e versões afetadas** PaddlePaddle versão 2.4.0-rc0 **Descrição** A vulnerabilidade permite a injeção de código na função `paddle.audio.functional.get window`, possibilitando a execução de código arbitrário. **Recomendações** Para a versão 2.4.0-rc0 do PaddlePaddle, considere aplicar o patch disponível no ramo `develop` do repositório, que deverá fazer parte de uma versão 2.4. Como solução temporária, considere restringir o uso da função `paddle.audio.functional.get window` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.11 Versões do TensorFlow 2.10.1 e anteriores Versões do TensorFlow 2.9.3 e anteriores Versões do TensorFlow 2.8.4 e anteriores **Descrição** A falha resulta em uma falha de segmentação quando `tf.raw ops.TensorListConcat` recebe `element shape=[]`, o que pode ser usado para desencadear um ataque de negação de serviço. Isso pode ser feito fornecendo um `element shape` vazio à função `tf.raw ops.TensorListConcat`, conforme mostrado no código de exemplo. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para versões anteriores à 2.11, atualize para o TensorFlow 2.11 ou posterior. Para versões 2.10.1 e anteriores, atualize para o TensorFlow 2.10.1 ou posterior, ou aplique o patch do commit fc33f3dc4c14051a83eec6535b608abe1d355fde no GitHub. Para versões 2.9.3 e anteriores, atualize para o TensorFlow 2.9.3 ou posterior, ou aplique o patch do commit fc33f3dc4c14051a83eec6535b608abe1d355fde no GitHub. Para as versões 2.8.4 e anteriores, atualize para o TensorFlow 2.8.4 ou posterior, ou aplique o patch do commit do GitHub fc33f3dc4c14051a83eec6535b608abe1d355fde. Como solução alternativa temporária, considere evitar o uso de `tf.raw ops.TensorListConcat` com um `element shape` vazio até que o problema seja resolvido.