Katalog CVE

CVE-2026-31230

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.55%

Percentyl 42 — wyżej niż 42% wszystkich znanych CVE

Streszczenie

W bibliotece Adversarial Robustness Toolbox (ART) do wersji 1.20.1 włącznie wykryto podatność na wstrzykiwanie argumentów wiersza poleceń w komponencie Kubeflow (robustness_evaluation_fgsm_pytorch.py). Skrypt używa niebezpiecznej funkcji eval() do parsowania wartości łańcuchowych przekazywanych przez argumenty --clip_values i --input_shape, co pozwala atakującemu na zdalne wykonanie dowolnego kodu Python.

Ocena ryzyka

Atakujący może zdalnie przejąć kontrolę nad systemem uruchamiającym ocenę ART, co prowadzi do pełnej kompromitacji poufności, integralności i dostępności danych oraz zasobów organizacji.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę ART do wersji nowszej niż 1.20.1, a w międzyczasie unikać przekazywania niezaufanych danych do argumentów --clip_values i --input_shape oraz zastąpić eval() bezpieczniejszym parserem.

Oryginalny opis (angielski, źródło NVD)

The Adversarial Robustness Toolbox (ART) thru 1.20.1 contains a command-line argument injection vulnerability in its Kubeflow component (robustness_evaluation_fgsm_pytorch.py). The script uses the unsafe eval() function to parse string values provided via the --clip_values and --input_shape command-line arguments. This allows an attacker to inject arbitrary Python code into these arguments, which will be executed when eval() is called. The vulnerability can be exploited remotely if an attacker can control these arguments (e.g., through pipeline configuration or automated scripts), leading to arbitrary code execution on the system running the ART evaluation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS