PT-2021-22415 · Nvcaffe · Nvcaffe
Lowdrnikolaev
·
Publicado
2021-08-23
·
Atualizado
2021-08-31
·
CVE-2021-39158
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do NVCaffe anteriores à 0.17.4
Descrição
O problema decorre do fato de a lista de dependências obrigatórias do NVCaffe em Python conter uma referência ao
gfortran, que não existe no repositório pypi.org. Isso poderia ter permitido que um invasor publicasse arquivos maliciosos no pypi.org, levando um usuário a instalá-los no NVCaffe.Recomendações
Para versões anteriores à 0.17.4, atualize para a versão 0.17.4 ou posterior para resolver o problema. Como solução temporária, considere restringir a instalação de dependências de fontes não confiáveis para minimizar o risco de exploração.
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nvcaffe