CVE-2017-12852描述了NumPy库中一个拒绝服务(DoS)漏洞。该漏洞源于numpy.pad函数在处理输入时缺乏验证,导致空列表或ndarray输入时进入无限循环。受影响的版本包括NumPy 1.9.3及更早版本,建议升级至1.13.3以修复此问题。
攻击者可以利用此漏洞通过向numpy.pad函数提供空列表或ndarray作为输入,触发无限循环。这会导致NumPy进程消耗大量CPU资源,最终导致服务不可用,造成拒绝服务攻击。由于NumPy广泛应用于科学计算和数据分析领域,该漏洞可能影响依赖NumPy的应用程序和系统,造成广泛的影响。该漏洞类似于其他资源耗尽型DoS攻击,可能导致系统崩溃或性能严重下降。
该漏洞已公开披露,并存在公开的POC。目前尚未观察到大规模的利用活动,但由于NumPy的广泛使用,该漏洞仍然存在潜在风险。该漏洞已添加到CISA KEV目录中,表明其具有较高的安全风险。NVD于2017年8月15日发布了该漏洞的详细信息。
漏洞利用状态
EPSS
0.81% (74% 百分位)
CVSS 向量
为了缓解此漏洞,建议立即升级NumPy至1.13.3或更高版本。如果无法立即升级,可以尝试限制对numpy.pad函数的访问,并对输入进行严格的验证,以防止空列表或ndarray输入。此外,可以考虑使用Web应用程序防火墙(WAF)或代理服务器来过滤恶意请求,并监控NumPy进程的资源使用情况,以便及时发现和响应DoS攻击。升级后,请确认numpy.pad函数不再受到无限循环的影响,可以通过测试用例验证。
暂无官方补丁。请查找临时解决方案或持续关注更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2017-12852描述了NumPy 1.9.3及更早版本中numpy.pad函数的一个拒绝服务漏洞,攻击者可利用空列表或ndarray输入导致无限循环。
如果您正在使用NumPy 1.9.3或更早版本,则可能受到此漏洞的影响。请立即升级至1.13.3或更高版本。
建议升级NumPy至1.13.3或更高版本。如果无法升级,请限制对numpy.pad函数的访问并验证输入。
虽然尚未观察到大规模利用,但由于NumPy的广泛使用,该漏洞仍然存在潜在风险。
请访问NumPy官方网站或GitHub仓库,搜索CVE-2017-12852以获取详细信息。
上传你的 requirements.txt 文件,立即知道是否受影响。