Описание
Уязвимость библиотеки для глубокого обучения Deep Java Library (DJL) связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перезаписывать системные файлы
Вендор
Amazon.com Inc.
Наименование ПО
Deep Java Library (DJL)
Версия ПО
от 0.1.0 до 0.28.0 (Deep Java Library (DJL))
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости
Обновление библиотеки до версии 0.28.0 и выше
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 52%
0.00288
Низкий
10 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 10
nvd
больше 1 года назад
DeepJavaLibrary(DJL) is an Engine-Agnostic Deep Learning Framework in Java. DJL versions 0.1.0 through 0.27.0 do not prevent absolute path archived artifacts from inserting archived files directly into the system, overwriting system files. This is fixed in DJL 0.28.0 and patched in DJL Large Model Inference containers version 0.27.0. Users are advised to upgrade.
EPSS
Процентиль: 52%
0.00288
Низкий
10 Critical
CVSS3
10 Critical
CVSS2