PT-2022-20866 · Nvidia · Nvflare
Nintorac
+1
·
Publicado
2022-06-22
·
Atualizado
2022-07-13
·
CVE-2022-31604
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do NVFLARE anteriores à 2.1.2
Descrição
O problema está relacionado ao módulo de implementação de PKI do NVFLARE, no qual as credenciais da CA são transmitidas via pickle sem uma desserialização segura. Isso pode permitir que um invasor de rede sem privilégios provoque a execução remota de código, negação de serviço e comprometa tanto a confidencialidade quanto a integridade.
Recomendações
Para versões anteriores à 2.1.2, atualize para a versão 2.1.2 para resolver o problema.
Como solução alternativa temporária, considere substituir a serialização pickle por JSON e alterar o código de acordo para minimizar o risco de exploração.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nvflare