PT-2024-15940 · Unknown · Cloudpickle+1
Bayuncao
·
Publicado
2024-01-27
·
Atualizado
2024-05-17
·
CVE-2024-0960
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
flink-extended ai-flow versão 0.3.1
Descrição
Foi identificada uma falha crítica que afeta a função
cloudpickle.loads do arquivo ai flowclicommandsworkflow command.py. Essa falha leva à deserialização e pode ser explorada remotamente. A complexidade de um ataque é bastante alta, e a exploração parece ser difícil. A exploração foi divulgada ao público e pode ser utilizada.Recomendações
Para a versão 0.3.1 do flink-extended ai-flow, considere desativar a função
cloudpickle.loads como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo vulnerável ai flowclicommandsworkflow command.py para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cloudpickle
Flink-Extended Ai-Flow