CVE-2026-34446

Name of the Vulnerable Software and Affected Versions ONNX versões anteriores a 1.21.0

Description A Open Neural Network Exchange (ONNX) possui uma falha na função onnx.load, onde o código verifica links simbólicos para evitar a travessia de caminho, mas não leva em consideração links físicos (hard links), pois os links físicos aparecem como arquivos regulares no sistema de arquivos. O validador em onnx/checker.cc usa apenas is symlink() e não verifica o inode ou st nlink, permitindo que os links físicos ignorem as verificações de segurança. Isso pode ser particularmente perigoso em cenários de cadeia de suprimentos de IA.

Recommendations Atualize para a versão 1.21.0 ou posterior.