CVE-2024-12216

Nome do Software Vulnerável e Versões Afetadas dmlc/gluon-cv versão 0.10.0

Descrição Uma vulnerabilidade na API ImageClassificationDataset.from csv() permite a gravação arbitrária de arquivos. A função faz download e extrai arquivos tar.gz de URLs sem a devida sanitização, tornando-a suscetível a uma vulnerabilidade do tipo TarSlip. Atacantes podem explorar isso criando arquivos tar maliciosos que, quando extraídos, podem sobrescrever arquivos no sistema da vítima por meio de path traversal ou symlinks falsificados.

Recomendações Como solução temporária, considere desativar a função ImageClassificationDataset.from csv() até que um patch esteja disponível. Restrinja o acesso à versão 0.10.0 do repositório dmlc/gluon-cv para minimizar o risco de exploração. Evite utilizar a API ImageClassificationDataset.from csv() na versão afetada até que o problema seja resolvido.