PT-2022-19469 · Google · Tensorflow
Andey Robins
·
Publicado
2022-05-20
·
Atualizado
2024-03-06
·
CVE-2022-29216
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.9.0
Versões do TensorFlow anteriores à 2.8.1
Versões do TensorFlow anteriores à 2.7.2
Versões do TensorFlow anteriores à 2.6.4
Descrição
O TensorFlow é uma plataforma de código aberto para aprendizado de máquina. A ferramenta
saved model cli está vulnerável a uma injeção de código, que pode ser usada para abrir um shell reverso. Esse caminho de código foi mantido por motivos de compatibilidade, já que os mantenedores tinham vários casos de teste em que expressões numpy eram usadas como argumentos. No entanto, como a ferramenta é sempre executada manualmente, o impacto disso ainda não é grave. Os mantenedores removeram agora o argumento safe=False, de modo que toda a análise sintática é feita sem chamar eval.Recomendações
Para versões anteriores à 2.9.0, atualize para a versão 2.9.0 ou posterior.
Para versões anteriores à 2.8.1, atualize para a versão 2.8.1 ou posterior.
Para versões anteriores à 2.7.2, atualize para a versão 2.7.2 ou posterior.
Para versões anteriores à 2.6.4, atualize para a versão 2.6.4 ou posterior.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow