PT-2024-15939 · Unknown · Cloudpickle+1
Bayuncao
·
Publicado
2024-01-27
·
Atualizado
2024-05-17
·
CVE-2024-0959
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
StanfordVL GibsonEnv versão 0.3.1
Descrição
Foi identificada uma vulnerabilidade crítica que afeta a função
cloudpickle.load do arquivo gibsonutilspposgd fuse.py. Essa vulnerabilidade leva à deserialização e pode ser explorada remotamente. A complexidade de um ataque é bastante alta, e a exploração é difícil. A exploração já foi divulgada ao público e pode ser utilizada.Recomendações
Para a versão 0.3.1 do StanfordVL GibsonEnv, considere desativar a função
cloudpickle.load como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo gibsonutilspposgd fuse.py para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Stanfordvl Gibsonenv
Cloudpickle