GHSA-w877-jfw7-46rj

Опубликовано: 17 июн. 2024

Источник: github

Github: Прошло ревью

CVSS3: 10

Описание

DeepJavaLibrary API absolute path traversal

Summary

DeepJavaLibrary(DJL) versions 0.1.0 through 0.27.0 do not prevent absolute path archived artifacts from inserting archived files directly into the system, overwriting system files. This is fixed in DJL 0.28.0 and patched in DJL Large Model Inference containers 0.27.0.

Impacted versions: 0.1.0 through 0.27.0

Patches

Patched Deep Learning Containers: v1.1-djl-0.27.0-inf-cpu-full v1.4-djl-0.27.0-inf-ds-0.12.6 v1.4-djl-0.27.0-inf-trt-0.8.0 v1.3-djl-0.27.0-inf-neuronx-sdk2.18.1

Patched Library: v0.28.0

Ссылки

Пакеты

Наименование

ai.djl:api

maven

Затронутые версииВерсия исправления

>= 0.1.0, < 0.28.0

0.28.0

EPSS

Процентиль: 52%

0.00288

Низкий

10 Critical

CVSS3

CVE ID

CVE-2024-37902

Дефекты

CWE-22

Связанные уязвимости

CVE-2024-37902

CVSS3: 10

nvd

больше 1 года назад

DeepJavaLibrary(DJL) is an Engine-Agnostic Deep Learning Framework in Java. DJL versions 0.1.0 through 0.27.0 do not prevent absolute path archived artifacts from inserting archived files directly into the system, overwriting system files. This is fixed in DJL 0.28.0 and patched in DJL Large Model Inference containers version 0.27.0. Users are advised to upgrade.

BDU:2024-05575

CVSS3: 10

fstec

больше 1 года назад

Уязвимость библиотеки для глубокого обучения Deep Java Library (DJL), связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю перезаписывать системные файлы

EPSS

Процентиль: 52%

0.00288

Низкий

10 Critical

CVSS3

CVE ID

CVE-2024-37902

Дефекты

CWE-22