CVE-2024-12044
KrytyczneStreszczenie
W wersji v3.3.0 open-mmlab/mmdetection występuje podatność na zdalne wykonanie kodu. Problem wynika z użycia funkcji `pickle.loads()` w API do rozproszonego treningu `all_reduce_dict()`, które nie zapewnia odpowiedniej sanitizacji.
Ocena ryzyka
Atakujący może wykonać dowolny kod, przesyłając złośliwy ładunek do sieci rozproszonego treningu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji open-mmlab/mmdetection oraz wprowadzenie dodatkowych mechanizmów sanitizacji danych przed ich przetworzeniem.
Oryginalny opis (angielski, źródło NVD)
A remote code execution vulnerability exists in open-mmlab/mmdetection version v3.3.0. The vulnerability is due to the use of the `pickle.loads()` function in the `all_reduce_dict()` distributed training API without proper sanitization. This allows an attacker to execute arbitrary code by broadcasting a malicious payload to the distributed training network.

