PT-2024-31814 · Cleanlab · Cleanlab
Kasimir Schulz
·
Publicado
2024-09-12
·
Atualizado
2024-09-16
·
CVE-2024-45857
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
Cleanlab versões 2.4.0 ou mais recentes
Descrição:
O problema está relacionado à desserialização de dados não confiáveis, o que pode ocorrer no projeto Cleanlab. Isso permite que um arquivo
datalab.pkl criado com intenção maliciosa execute código arbitrário no sistema de um usuário final quando o diretório de dados é carregado.Recomendações:
Para as versões 2.4.0 ou mais recentes, considere evitar o uso de dados não confiáveis no processo de desserialização até que um patch esteja disponível. Como solução temporária, restrinja o acesso ao diretório de dados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cleanlab