Уязвимость функции download_model_with_test_data() библиотеки программного обеспечения для построения нейронных сетей глубокого обучения Open Neural Network Exchange (ONNX) связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных tar-файлов
Компенсирующие меры:
- отключение или настройка SSH с использованием ключей аутентификации;
- использование средств контроля целостности данных для контроля изменений в authorized_keys;
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости;
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа.
| Балл | 10 — критическая опасность |