Plateforme
python
Composant
onnx
Corrigé dans
1.17.0
Une vulnérabilité de traversal de chemin a été découverte dans la fonction download_model du framework onnx, affectant les versions antérieures à 1.17.0, et incluant la version 1.16.1. Cette faille permet à un attaquant d'écrire des fichiers arbitraires en exploitant des fichiers tar malveillants. L'impact potentiel est l'exécution de commandes à distance sur le système de l'utilisateur. La version corrigée est 1.17.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'écrire des fichiers dans le répertoire de l'utilisateur. En manipulant le contenu d'un fichier tar téléchargé, l'attaquant peut potentiellement écraser des fichiers critiques du système, tels que des exécutables ou des fichiers de configuration. Cela peut conduire à une prise de contrôle complète du système, permettant l'exécution de commandes arbitraires avec les privilèges de l'utilisateur exécutant le code onnx. Le risque est exacerbé si le code onnx est exécuté avec des privilèges élevés, ce qui pourrait permettre à l'attaquant de compromettre l'ensemble du système.
Cette vulnérabilité a été rendue publique le 20 mars 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. La probabilité d'exploitation est considérée comme modérée, étant donné la complexité potentielle de la création d'un fichier tar malveillant ciblé et la nécessité d'une interaction utilisateur pour déclencher le téléchargement.
Python developers and systems administrators using the onnx framework in their applications are at risk. This includes those deploying machine learning models or applications that rely on the onnx format. Shared hosting environments where multiple users share the same file system are particularly vulnerable, as a malicious tar file uploaded by one user could potentially impact others.
• python / supply-chain:
import os
import tarfile
def check_onnx_vulnerability(tar_file_path):
try:
with tarfile.open(tar_file_path, 'r') as tar:
for member in tar.getmembers():
if '../' in member.name:
print(f"Potential path traversal detected in: {member.name}")
return True
except Exception as e:
print(f"Error processing tar file: {e}")
return False
# Example usage:
# Replace with the path to a potentially malicious tar file
tar_file = 'malicious.tar.gz'
if check_onnx_vulnerability(tar_file):
print("Vulnerability likely present.")
else:
print("No immediate path traversal detected.")• generic web: Check for unusual file downloads or modifications in web server access logs, especially those related to model downloads.
disclosure
Statut de l'Exploit
EPSS
1.47% (percentile 81%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le framework onnx vers la version 1.17.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de désactiver temporairement la fonction download_model si elle n'est pas essentielle. Si la mise à jour n'est pas immédiatement possible, examinez attentivement la provenance des fichiers tar téléchargés et assurez-vous qu'ils proviennent de sources fiables. L'implémentation de règles de pare-feu applicatif (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin (par exemple, ../) peut également aider à atténuer le risque.
Actualice la biblioteca onnx a una versión posterior a la 1.16.1. Esto se puede hacer usando el gestor de paquetes pip: `pip install --upgrade onnx`. Asegúrese de verificar que la actualización se haya realizado correctamente y que la versión instalada sea la correcta.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-7776 is a Path Traversal vulnerability in the onnx framework's download_model function, allowing attackers to overwrite files via malicious tar archives.
You are affected if you are using onnx versions less than or equal to 1.9.0. Check your installed version and upgrade if necessary.
Upgrade to version 1.17.0 or later of the onnx framework. If immediate upgrade is not possible, implement input validation and restrict write access.
While no widespread exploitation has been confirmed, the vulnerability's nature and high CVSS score suggest potential for exploitation. Monitor your systems closely.
Refer to the onnx project's security advisories and release notes for details: [https://github.com/onnx/onnx/security/advisories](https://github.com/onnx/onnx/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.