Informazioni sul CVE-2024-12029
Remote Code Execution via Model Deserialization in invoke-ai/invokeai
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2024-12029
Descrizione: Una vulnerabilità di esecuzione di codice non autorizzato esiste in invoke-ai/invokeai versioni 5.3.1 attraverso 5.4.2 tramite l’API /api/v2/models/install. La vulnerabilità deriva dalla deserializzazione non sicura dei file di modello utilizzando torch.load senza una corretta validazione. Gli attaccanti possono sfruttare questo sfruttando l’incorporazione di codice malevolo nei file di modello, che viene eseguito durante il caricamento. Questo problema è stato corretto in versione 5.4.3.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/9b790f94-1b1b-4071-bc27-78445d1a87a3
- https://github.com/invoke-ai/invokeai/commit/756008dc5899081c5aa51e5bd8f24c1b3975a59e
Prodotti interessati
- invoke-ai – invoke-ai/invokeai
Relazioni con altri prodotti
Produttore:invoke-ai
Prodotto: invoke-ai/invokeai
Anno: 2024
CWE: CWE-502
CVSS: 0.0