प्लेटफ़ॉर्म
python
घटक
onnx
में ठीक किया गया
1.16.2
onnx फ्रेमवर्क में एक Arbitrary File Access भेद्यता की पहचान की गई है, जो संस्करण 1.9.0 और उससे पहले के संस्करणों को प्रभावित करती है। यह भेद्यता दुर्भावनापूर्ण tar फ़ाइलों के माध्यम से पथ ट्रैवर्सल हमलों को सक्षम करती है, जिससे हमलावर सिस्टम पर किसी भी फ़ाइल को ओवरराइट करने में सक्षम हो सकते हैं। यह भेद्यता सिस्टम की अखंडता और उपलब्धता को खतरे में डाल सकती है। 1.16.2 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को सिस्टम पर किसी भी फ़ाइल को ओवरराइट करने की अनुमति देती है, जिससे दूरस्थ कोड निष्पादन (RCE), सिस्टम, व्यक्तिगत या एप्लिकेशन फ़ाइलों का विलोपन हो सकता है। हमलावर सिस्टम के नियंत्रण को प्राप्त कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, या सिस्टम को पूरी तरह से अक्षम कर सकते हैं। पथ ट्रैवर्सल हमलों के कारण, हमलावर सिस्टम पर अन्य अनुप्रयोगों और सेवाओं को भी लक्षित कर सकते हैं। यह भेद्यता विशेष रूप से गंभीर है क्योंकि यह बिना किसी प्रमाणीकरण के शोषण किया जा सकता है, जिससे यह किसी भी हमलावर के लिए एक आसान लक्ष्य बन जाता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर 8.8 (HIGH) है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि जल्द ही POC जारी किए जाएंगे। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations and developers utilizing the onnx framework in their machine learning pipelines, particularly those processing untrusted data or models from external sources, are at risk. Systems with older versions of onnx deployed in production environments, especially those with limited security controls, are particularly vulnerable.
• python / system:
import os
import tarfile
def check_tar_extraction(tar_file_path, extraction_path):
try:
with tarfile.open(tar_file_path, 'r') as tar:
tar.extractall(path=extraction_path)
print(f"Extraction successful to {extraction_path}")
except Exception as e:
print(f"Extraction failed: {e}")
# Example usage (replace with actual paths)
# check_tar_extraction('/path/to/malicious.tar.gz', '/tmp/extraction_test')• python / library: Examine onnx framework code for instances of tarfile.extractall without proper path sanitization.
• generic web: Monitor web server access logs for requests containing tar files, especially those originating from untrusted sources.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.36% (80% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, onnx फ्रेमवर्क को संस्करण 1.16.2 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों को कॉन्फ़िगर किया जा सकता है ताकि दुर्भावनापूर्ण tar फ़ाइलों को सिस्टम पर अपलोड करने से रोका जा सके। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त किया जा सकता है ताकि हमलावर को केवल उन फ़ाइलों तक पहुंच प्राप्त हो जो उन्हें आवश्यक हैं। सिस्टम की निगरानी करना और किसी भी असामान्य गतिविधि के लिए अलर्ट सेट करना भी महत्वपूर्ण है।
Actualice la biblioteca onnx a una versión posterior a la 1.16.0 que corrija la vulnerabilidad de path traversal. Verifique las notas de la versión para confirmar que la vulnerabilidad CVE-2024-5187 ha sido abordada. Puede actualizar la biblioteca utilizando el gestor de paquetes pip: `pip install --upgrade onnx`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-5187 onnx फ्रेमवर्क में एक Arbitrary File Access भेद्यता है जो दुर्भावनापूर्ण tar फ़ाइलों के माध्यम से पथ ट्रैवर्सल हमलों को सक्षम करती है।
यदि आप onnx फ्रेमवर्क के संस्करण 1.9.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
onnx फ्रेमवर्क को संस्करण 1.16.2 या बाद के संस्करण में अपडेट करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि जल्द ही शोषण सामने आएंगे।
आप onnx फ्रेमवर्क की वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [https://github.com/onnx/onnx/security/advisories/GHSA-984x-p57j-644w](https://github.com/onnx/onnx/security/advisories/GHSA-984x-p57j-644w)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।