Katalog CVE

CVE-2024-12044

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersji v3.3.0 open-mmlab/mmdetection występuje podatność na zdalne wykonanie kodu. Problem wynika z użycia funkcji `pickle.loads()` w API do rozproszonego treningu `all_reduce_dict()`, które nie zapewnia odpowiedniej sanitizacji.

Ocena ryzyka

Atakujący może wykonać dowolny kod, przesyłając złośliwy ładunek do sieci rozproszonego treningu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji open-mmlab/mmdetection oraz wprowadzenie dodatkowych mechanizmów sanitizacji danych przed ich przetworzeniem.

Oryginalny opis (angielski, źródło NVD)

A remote code execution vulnerability exists in open-mmlab/mmdetection version v3.3.0. The vulnerability is due to the use of the `pickle.loads()` function in the `all_reduce_dict()` distributed training API without proper sanitization. This allows an attacker to execute arbitrary code by broadcasting a malicious payload to the distributed training network.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS