Удаленное лицо Удаленное лицо Удаленное использование исполнительного оператора Python Дезериализация ненадежных данных Уязвимости Исполнен…
Удаленное лицо Удаленное лицо Удаленное использование исполнительного оператора Python Дезериализация ненадежных данных Уязвимости Исполнения Удаленных Кодов. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках сгламуляторов Hugging Face. Аутентификация не требуется для использования этой уязвимости. Конкретный недостаток существует в разборе данных о соленьях. Проблема возникает из-за отсутствия надлежащей проверки данных, поставляемых пользователям, что может привести к дезьеризации ненадежных данных. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи сервиса. Это был ZDI-CAN-28312.
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →