UNKNOWNCVE-2026-34445
CVE-2026-34445: ONNX 对象属性覆盖漏洞 (CVSS 8.6)
平台
python
组件
onnx
已修复版本
1.21.0
CVE-2026-34445是Open Neural Network Exchange (ONNX)中的一个漏洞。在1.21.0之前的版本中,ONNX中的ExternalDataInfo类使用Python的setattr()函数直接从ONNX模型文件加载元数据(如文件路径或数据长度)。它没有检查文件中的“keys”是否有效。因此,攻击者可以制作恶意模型来覆盖内部对象属性。受影响的版本为<=1.21.0。此问题已在1.21.0版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34445是什么漏洞?
CVE-2026-34445是ONNX中的一个对象属性覆盖漏洞,允许攻击者覆盖内部对象属性。
我是否受到CVE-2026-34445的影响?
如果您的ONNX版本小于1.21.0,则您可能受到此漏洞的影响。请尽快升级。
如何修复CVE-2026-34445?
将您的ONNX升级到1.21.0或更高版本即可修复此漏洞。请从官方渠道获取更新。