CVE-2024-12044
CriticalSummary
W wersji v3.3.0 open-mmlab/mmdetection występuje podatność na zdalne wykonanie kodu. Problem wynika z użycia funkcji `pickle.loads()` w API do rozproszonego treningu `all_reduce_dict()`, które nie zapewnia odpowiedniej sanitizacji.
Risk Assessment
Atakujący może wykonać dowolny kod, przesyłając złośliwy ładunek do sieci rozproszonego treningu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji open-mmlab/mmdetection oraz wprowadzenie dodatkowych mechanizmów sanitizacji danych przed ich przetworzeniem.
Original NVD description (English source)
A remote code execution vulnerability exists in open-mmlab/mmdetection version v3.3.0. The vulnerability is due to the use of the `pickle.loads()` function in the `all_reduce_dict()` distributed training API without proper sanitization. This allows an attacker to execute arbitrary code by broadcasting a malicious payload to the distributed training network.

