BDU:2022-04732

Опубликовано: 24 июл. 2022

Источник: fstec

CVSS3: 8.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость программной среды для обучения и развертывания глубоких нейронных сетей Apache MXNet связана с неконтролируемым расходом ресурсов при загрузке модели с именем оператора. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Apache Software Foundation

Наименование ПО

MXNet

Версия ПО

до 1.9.1 (MXNet)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/b1fbfmvzlr2bbp95lqoh3mtovclfcl3o

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-24294
CVE

EPSS

Процентиль: 89%

0.04723

Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2022-24294

CVSS3: 7.5

nvd

больше 3 лет назад

A regular expression used in Apache MXNet (incubating) is vulnerable to a potential denial-of-service by excessive resource consumption. The bug could be exploited when loading a model in Apache MXNet that has a specially crafted operator name that would cause the regular expression evaluation to use excessive resources to attempt a match. This issue affects Apache MXNet versions prior to 1.9.1.

GHSA-xxj3-55p6-xg3h