CVE-2026-34445

Name of the Vulnerable Software and Affected Versions ONNX versões anteriores a 1.21.0

Description A classe ExternalDataInfo em ONNX usava a função setattr() do Python para carregar metadados de arquivos de modelo ONNX sem validar as chaves. Isso permitia que um invasor criasse um modelo malicioso que pudesse sobrescrever propriedades internas do objeto. A exploração pode levar a uma condição de negação de serviço (DoS) causando alocação excessiva de memória, acesso não autorizado lendo partes não intencionais do arquivo ou corrupção de objeto através da injeção de atributos dunder.

Recommendations Atualize para a versão 1.21.0 ou posterior do ONNX.