PT-2024-21820 · Unknown · Refuel Autolabel Library
Kasimir Schulz
+1
·
Publicado
2024-09-12
·
Atualizado
2024-09-23
·
CVE-2024-27320
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Biblioteca Refuel Autolabel, versões 0.0.8 e posteriores
Descrição
Existe uma vulnerabilidade que permite a execução de código arbitrário devido à forma como a biblioteca Refuel Autolabel lida com arquivos CSV fornecidos em suas tarefas de classificação. Se um arquivo CSV criado com intenção maliciosa e contendo código Python for usado para criar uma tarefa de classificação, o código será executado por uma função
eval.Recomendações
Para as versões 0.0.8 e posteriores da biblioteca Refuel Autolabel, considere desativar o recurso de tarefa de classificação que lida com arquivos CSV até que um patch esteja disponível para impedir a execução de código arbitrário. Restrinja o uso da função
eval em tarefas de classificação para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.RCE
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Refuel Autolabel Library