官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
漏洞预警|NVFlare 不可信数据的反序列化漏洞
棱镜七彩- 关注
漏洞预警|NVFlare 不可信数据的反序列化漏洞
棱镜七彩安全预警
近日网上有关于开源项目NVFlare 不可信数据的反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。
项目主页
https://nvflare.readthedocs.io/
代码托管地址
https://github.com/NVIDIA/NVFlare
CVE编号
CVE-2022-34668
漏洞情况
NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。
在 NVFlare 的漏洞版本中由于使用Pickle模块而存在不可信数据的反序列化漏洞。
攻击者可利用该漏洞执行任意代码,甚至接管服务器。
受影响的版本
nvflare@(∞, 2.1.4)
修复方案
升级nvflare到2.1.4或更高版本
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2022-34668
https://github.com/NVIDIA/NVFlare/security/advisories/GHSA-6qv6-q77g-7qm6
本文为 棱镜七彩 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
漏洞预警
相关推荐
棱镜七彩 LV.8
专注开源治理,专注供应链安全!
DevSCAOps 新一代SCRM解决方案
- 132 文章数
- 6 关注者
中标!勇夺两大行业重点项目,喜迎开门红!
2025-02-24
从工匠故事读懂开源软件的特点与价值
2025-02-10
上榜两大领域!棱镜七彩获评ISC数字安全创新能力百强
2024-12-23
文章目录