CVE-2024-7776

Nome do Software Vulnerável e Versões Afetadas framework onnx/onnx versão 1.16.1 e anteriores

Descrição Uma vulnerabilidade na função download model do framework onnx/onnx permite a sobrescrita arbitrária de arquivos devido à prevenção inadequada de ataques de path traversal em arquivos tar maliciosos. Este problema pode ser explorado por um atacante para sobrescrever arquivos no diretório do usuário, potencialmente levando à execução remota de comandos.

Recomendações Para o framework onnx/onnx versão 1.16.1 e anteriores, atualize para uma versão superior à 1.16.1 para resolver o problema. Como medida temporária, considere desativar a função download model até que um patch esteja disponível. Restrinja o acesso a arquivos tar maliciosos para minimizar o risco de exploração. Evite usar a função download model com entrada não confiável até que o problema seja resolvido.