PT-2024-27091 · Google+1 · Tensorflow+1
Allen Householder
+3
·
Publicado
2024-04-16
·
Atualizado
2025-11-12
·
CVE-2024-3660
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões anteriores à 2.13 da estrutura Keras do TensorFlow
Descrição
Uma falha de injeção de código na estrutura Keras do TensorFlow permite que invasores executem código arbitrário com as mesmas permissões da aplicação. Isso pode ser feito utilizando um modelo que permita a execução de código arbitrário, independentemente das permissões da aplicação. A vulnerabilidade pode ser explorada ao carregar um modelo criado com uma versão mais antiga, potencialmente contornando um patch.
Recomendações
Para versões anteriores à 2.13, considere desativar o uso de modelos criados com versões mais antigas até que um patch esteja disponível.
Como solução alternativa temporária, restrinja o carregamento de modelos para minimizar o risco de exploração.
Evite usar o LambdaLayer no Keras até que o problema seja resolvido.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Tensorflow