PT-2024-25683 · Amazon · Sagemaker-Python-Sdk
Kasimir123
·
Publicado
2024-05-03
·
Atualizado
2024-05-03
·
CVE-2024-34072
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do sagemaker-python-sdk anteriores à 2.218.0
Descrição
O problema diz respeito a uma deserialização potencialmente insegura no módulo sagemaker.base deserializers.NumpyDeserializer quando dados não confiáveis são passados como matrizes de objetos pickled. Isso pode permitir que um terceiro sem privilégios cause execução remota de código ou negação de serviço, afetando tanto a confidencialidade quanto a integridade.
Recomendações
Para versões anteriores à 2.218.0, atualize para a versão 2.218.0 para resolver o problema.
Para usuários que não possam atualizar, não passe matrizes de objetos numpy pickled originadas de uma fonte não confiável ou que possam ter sido adulteradas. Passe apenas matrizes de objetos numpy pickled de fontes confiáveis.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sagemaker-Python-Sdk