CVE-2024-37902

Nome do software vulnerável e versões afetadas:

DeepJavaLibrary (DJL), versões 0.1.0 a 0.27.0

Descrição:

O problema está relacionado à restrição incorreta do nome do caminho do diretório com acesso limitado. Isso pode permitir que um invasor remoto sobrescreva arquivos do sistema. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Recomendações:

Para as versões 0.1.0 a 0.27.0 do DeepJavaLibrary (DJL), recomenda-se que os usuários atualizem para a versão 0.28.0 ou apliquem o patch nos contêineres DJL Large Model Inference versão 0.27.0. Como solução alternativa temporária, considere restringir o uso de artefatos arquivados com caminho absoluto para impedir que eles insiram arquivos diretamente no sistema.