Plataforma
python
Componente
onnx
Corregido en
1.17.0
La vulnerabilidad CVE-2024-7776 es un fallo de Path Traversal descubierto en la función download_model del framework onnx/onnx. Este fallo, presente en versiones anteriores o iguales a 1.9.0, permite a un atacante sobreescribir archivos en el directorio del usuario mediante la manipulación de archivos tar maliciosos. La actualización a la versión 1.17.0 corrige esta vulnerabilidad, mitigando el riesgo de ejecución remota de comandos.
Un atacante puede explotar esta vulnerabilidad enviando un archivo tar malicioso a través de la función download_model. El framework onnx/onnx no valida adecuadamente las rutas dentro del archivo tar, permitiendo que el atacante especifique rutas arbitrarias que apuntan a archivos fuera del directorio previsto. Esto permite la sobreescritura de archivos sensibles, como archivos de configuración o ejecutables, lo que podría resultar en la ejecución remota de código. El impacto potencial es significativo, ya que un atacante podría comprometer completamente el sistema afectado, obteniendo acceso no autorizado a datos confidenciales y controlando la ejecución de comandos.
La vulnerabilidad CVE-2024-7776 ha sido publicada el 20 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de campañas de explotación activas conocidas. No se han encontrado públicamente pruebas de concepto (PoCs) disponibles, aunque la naturaleza del fallo de Path Traversal sugiere que es probable que se desarrollen en el futuro.
Python developers and systems administrators using the onnx framework in their applications are at risk. This includes those deploying machine learning models or applications that rely on the onnx format. Shared hosting environments where multiple users share the same file system are particularly vulnerable, as a malicious tar file uploaded by one user could potentially impact others.
• python / supply-chain:
import os
import tarfile
def check_onnx_vulnerability(tar_file_path):
try:
with tarfile.open(tar_file_path, 'r') as tar:
for member in tar.getmembers():
if '../' in member.name:
print(f"Potential path traversal detected in: {member.name}")
return True
except Exception as e:
print(f"Error processing tar file: {e}")
return False
# Example usage:
# Replace with the path to a potentially malicious tar file
tar_file = 'malicious.tar.gz'
if check_onnx_vulnerability(tar_file):
print("Vulnerability likely present.")
else:
print("No immediate path traversal detected.")• generic web: Check for unusual file downloads or modifications in web server access logs, especially those related to model downloads.
disclosure
Estado del Exploit
EPSS
1.47% (81% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-7776 es actualizar el framework onnx/onnx a la versión 1.17.0 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la función downloadmodel solo a fuentes confiables. Además, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en las rutas de los archivos tar. Después de la actualización, verificar que la función downloadmodel no permita la sobreescritura de archivos fuera del directorio esperado mediante la prueba con archivos tar de prueba.
Actualice la biblioteca onnx a una versión posterior a la 1.16.1. Esto se puede hacer usando el gestor de paquetes pip: `pip install --upgrade onnx`. Asegúrese de verificar que la actualización se haya realizado correctamente y que la versión instalada sea la correcta.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-7776 is a Path Traversal vulnerability in the onnx framework's download_model function, allowing attackers to overwrite files via malicious tar archives.
You are affected if you are using onnx versions less than or equal to 1.9.0. Check your installed version and upgrade if necessary.
Upgrade to version 1.17.0 or later of the onnx framework. If immediate upgrade is not possible, implement input validation and restrict write access.
While no widespread exploitation has been confirmed, the vulnerability's nature and high CVSS score suggest potential for exploitation. Monitor your systems closely.
Refer to the onnx project's security advisories and release notes for details: [https://github.com/onnx/onnx/security/advisories](https://github.com/onnx/onnx/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.