numpy
Corregido en
1.13.3
La vulnerabilidad CVE-2017-12852 afecta a la biblioteca numpy en versiones 1.9.3 y anteriores. Esta falla de seguridad permite a un atacante causar una denegación de servicio (DoS) explotando la función numpy.pad. La falta de validación de entrada en esta función puede resultar en un bucle infinito, consumiendo recursos del sistema y dejando el servicio inaccesible. Se recomienda actualizar a la versión 1.13.3 o superior para mitigar este riesgo.
Un atacante puede explotar esta vulnerabilidad enviando una entrada maliciosa a la función numpy.pad, específicamente una lista o ndarray vacía. Esto desencadena un bucle infinito dentro de la función, agotando los recursos del sistema, como la CPU y la memoria. El resultado es una denegación de servicio, impidiendo que las aplicaciones que utilizan numpy funcionen correctamente. La severidad de este impacto puede variar dependiendo de la criticidad de las aplicaciones afectadas y la disponibilidad de recursos de respaldo. La explotación exitosa podría interrumpir procesos críticos y afectar la disponibilidad general del sistema.
Esta vulnerabilidad fue publicada el 15 de agosto de 2017. No se ha reportado su explotación activa en campañas dirigidas, pero la naturaleza de un ataque DoS la hace potencialmente explotable. No se ha identificado en KEV ni tiene un puntaje EPSS asignado. La falta de validación de entrada es un patrón común en vulnerabilidades DoS, y aunque no se ha visto una explotación directa similar a Log4Shell, la posibilidad de explotación remota existe.
Estado del Exploit
EPSS
0.81% (74% percentil)
Vector CVSS
La solución principal es actualizar a numpy versión 1.13.3 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Monitorear el uso de la CPU y la memoria del sistema es crucial para detectar posibles ataques DoS. Implementar reglas en firewalls o proxies para limitar el tráfico hacia las aplicaciones que utilizan numpy puede ayudar a reducir la superficie de ataque. Aunque no es una solución completa, restringir las entradas a la función numpy.pad a valores válidos puede disminuir el riesgo. Después de la actualización, confirmar la mitigación ejecutando pruebas de carga para asegurar la estabilidad del sistema.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2017-12852 is a Denial of Service vulnerability in NumPy versions 1.9.3 and earlier. An attacker can trigger an infinite loop in the numpy.pad function, causing a DoS.
If you are using NumPy version 1.9.3 or earlier, you are potentially affected. Check your NumPy version using pip show numpy or python -c "import numpy; print(numpy.version)".
Upgrade to NumPy version 1.13.3 or later. This version includes a fix for the input validation issue that causes the DoS vulnerability.
There is no current evidence of CVE-2017-12852 being actively exploited in the wild, but public POC code exists.
Refer to the NumPy security advisories and the related discussion on the NumPy mailing list for details: https://github.com/numpy/numpy/issues/9384
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.