Informazioni sul CVE-2022-36013

Null-dereference in `mlir::tfg::GraphDefImporter::ConvertNodeDef` in TensorFlow

CWE ID: CWE-476

Base Score (CVSS): N/A

CVE: CVE-2022-36013

Descrizione: TensorFlow is an open source platform for machine learning. When `mlir::tfg::GraphDefImporter::ConvertNodeDef` tries to convert NodeDefs without an op name, it crashes. We have patched the issue in GitHub commit a0f0b9a21c9270930457095092f558fbad4c03e5. The fix will be included in TensorFlow 2.10.0. We will also cherrypick this commit on TensorFlow 2.9.1, TensorFlow 2.8.1, and TensorFlow 2.7.2, as these are also affected and still in supported range. There are no known workarounds for this issue.

Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 5.8 (Medium)

Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) N Network L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC) H High L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR) N None Non sono richiesti privilegi.
User Interaction (UI) N None Non è richiesta interazione dell’utente.
Scope (S) U Unchanged Il raggio d’azione non cambia.
Confidentiality Impact (C) N None Nessun impatto sulla riservatezza.
Integrity Impact (I) N None Nessun impatto sull’integrità.
Availability Impact (A) H High Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

  • tensorflow – tensorflow

Relazioni con altri prodotti

Produttore:tensorflow
Prodotto: tensorflow
Anno: 2022
CWE: CWE-476
CVSS: 0.0