ГлавнаяБаза уязвимостей БДУ → BDU:2024-04406
10критическая

BDU:2024-04406

Уязвимость функции download_model_with_test_data() библиотеки программного обеспечения для построения нейронных сетей глубокого обучения Open Neural Network Exchange (ONNX), позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-06-07
Описание

Уязвимость функции download_model_with_test_data() библиотеки программного обеспечения для построения нейронных сетей глубокого обучения Open Neural Network Exchange (ONNX) связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных tar-файлов

Затрагиваемое ПО и версии
ONNX (1.16.0)
Способ устранения

Компенсирующие меры:
- отключение или настройка SSH с использованием ключей аутентификации;
- использование средств контроля целостности данных для контроля изменений в authorized_keys;
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости;
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://huntr.com/bounties/50235ebd-3410-4ada-b064-1a648e11237ehttps://github.com/onnx/onnx
Проверьте безопасность своего сайта и почты → Полная проверка домена