Informazioni sul CVE-2024-11039
Deserialization of Untrusted Data in binary-husky/gpt_academic
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2024-11039
Descrizione: Una vulnerabilità di deserializzazione inaffidabile esiste nella funzione del debug di correzione degli errori in Latex English nel binario-husky/gpt_academic versioni fino e inclusi 3.83. Questa vulnerabilità consente agli attaccanti di raggiungere l’esecuzione remota di comandi tramite deserializzazione di dati non attendibili. Il problema si verifica perché l’inclusione di numpy nel whitelist di dati da deserializzare può essere sfruttata costruendo un pacchetto compressato malevolo contenente un file merge_result.pkl e un file merge_proofread_en.tex. La vulnerabilità è stata corretta in commit 91f5e6b.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/f233a365-522c-44f6-876f-db492fb58ad5
- https://github.com/binary-husky/gpt_academic/commit/91f5e6b8f754beb47b02f7c1893804c1c9543ccb
Prodotti interessati
- binary-husky – binary-husky/gpt_academic
Relazioni con altri prodotti
Produttore:binary-husky
Prodotto: binary-husky/gpt_academic
Anno: 2024
CWE: CWE-502
CVSS: 0.0