CVE-2024-34073

Versões do sagemaker-python-sdk anteriores à 2.214.3

A função capture dependencies no módulo sagemaker.serve.save retrive.version 1 0 0.save.utils permite uma injeção de comando no sistema operacional (SO) potencialmente insegura se um comando inadequado for passado como parâmetro requirements path. Isso pode permitir que um terceiro sem privilégios cause execução remota de código e negação de serviço, afetando tanto a confidencialidade quanto a integridade.

Para versões anteriores à 2.214.3, atualize para a versão 2.214.3 ou posterior.

Como solução alternativa temporária para usuários que não possam atualizar, não substitua o parâmetro requirements path da função capture dependencies em sagemaker.serve.save retrive.version 1 0 0.save.utils e, em vez disso, use o valor padrão.