Informazioni sul CVE-2024-3568
Arbitrary Code Execution via Deserialization in huggingface/transformers
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2024-3568
Descrizione: La libreria Hugging Face/transformers è vulnerabile all’esecuzione di codice arbitrario attraverso la deserializzazione di dati non sicuri all’interno della funzione `load_repo_checkpoint()` della classe `TFPreTrainedModel`. Attaccanti possono eseguire codice arbitrario e comandi sfruttando l’uso di `pickle.load()` su dati da fonti non sicure. Questa vulnerabilità consente l’esecuzione remota di codice (RCE) ingannando i vittime nel caricamento di un checkpoint apparentemente innocuo durante un processo di addestramento normale, consentendo agli attaccanti di eseguire codice arbitrario sulla macchina bersaglio.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/b3c36992-5264-4d7f-9906-a996efafba8f
- https://github.com/huggingface/transformers/commit/693667b8ac8138b83f8adb6522ddaf42fa07c125
Prodotti interessati
- huggingface – huggingface/transformers
Relazioni con altri prodotti
Produttore:huggingface
Prodotto: huggingface/transformers
Anno: 2024
CWE: CWE-502
CVSS: 0.0