PT-2022-20867 · Nvflare · Nvflare
Nintorac
+1
·
Publicado
2022-06-22
·
Atualizado
2022-07-13
·
CVE-2022-31605
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do NVFLARE anteriores à 2.1.2
Descrição
O problema diz respeito à desserialização de dados não confiáveis no módulo utils do NVFLARE, onde arquivos YAML são carregados por meio de
yaml.load() em vez de yaml.safe load(). Isso pode permitir que um invasor de rede sem privilégios cause execução remota de código, negação de serviço e afete tanto a confidencialidade quanto a integridade.Recomendações
Para versões anteriores à 2.1.2, atualize para a versão 2.1.2 para resolver o problema.
Como solução alternativa temporária, considere alterar
yaml.load() para yaml.safe load() no módulo afetado.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nvflare