Plataforma
python
Componente
onnx
Corrigido em
1.21.1
1.21.0
A vulnerabilidade CVE-2026-27489 é um problema de Path Traversal descoberto no componente 'onnx' do ONNX (Open Neural Network Exchange). Essa falha permite que um atacante leia arquivos arbitrários fora do diretório do modelo ou do diretório fornecido pelo usuário, explorando uma verificação inadequada de links simbólicos. Versões do ONNX afetadas incluem aquelas anteriores ou iguais a 1.9.0. A correção está disponível na versão 1.21.0.
Um atacante pode explorar essa vulnerabilidade criando um link simbólico que aponta para um arquivo fora do diretório esperado. A função std::filesystem::isregularfile não valida adequadamente os links simbólicos, permitindo que o atacante acesse arquivos confidenciais no sistema de arquivos. O impacto potencial inclui a exposição de informações sensíveis, como chaves de API, credenciais de banco de dados ou código-fonte. A exploração bem-sucedida pode levar a um comprometimento significativo do sistema, permitindo que o atacante obtenha acesso não autorizado a dados e recursos. Embora não haja relatos públicos de exploração direta, a natureza da vulnerabilidade (Path Traversal) a torna um alvo atraente para atacantes, especialmente em ambientes onde o ONNX é usado para processar modelos de aprendizado de máquina.
A vulnerabilidade foi publicada em 2026-03-31. Não há informações disponíveis sobre a inclusão em KEV ou EPSS. A probabilidade de exploração é considerada média, devido à natureza da vulnerabilidade de Path Traversal e à sua potencial facilidade de exploração. Não há publicações de Proof-of-Concept (PoC) conhecidas no momento, mas a vulnerabilidade é passível de exploração e deve ser tratada com seriedade. Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para atualizações.
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
A mitigação primária para CVE-2026-27489 é atualizar para a versão 1.21.0 do ONNX, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso ao diretório de modelos e aos arquivos de entrada para minimizar o impacto potencial de uma exploração bem-sucedida. Implemente regras de firewall ou proxy para bloquear o acesso não autorizado aos arquivos do sistema. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos fora do diretório esperado. Após a atualização, confirme a correção verificando se a função de verificação de links simbólicos está funcionando corretamente e se não é possível acessar arquivos arbitrários.
Actualice la biblioteca ONNX a la versión 1.21.0 o superior. Esto corrige la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios fuera del directorio del modelo o proporcionado por el usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Path Traversal no componente 'onnx' do ONNX, permitindo a leitura de arquivos arbitrários fora do diretório esperado.
Se você estiver usando ONNX versão 1.9.0 ou anterior, você está vulnerável. Verifique sua versão e atualize.
Atualize para a versão 1.21.0 do ONNX. Se não for possível, implemente medidas de segurança adicionais, como restrição de acesso e monitoramento de logs.
Não há relatos públicos de exploração ativa, mas a vulnerabilidade é passível de exploração e deve ser tratada com seriedade.
Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para obter informações adicionais e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.