Alapadatok
Súlyosság: Kritikus
CVSS vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS base score: 9.8
Kihasználhatóság:
- Hálózatról kihasználható
- Alacsony komplexitás
- Nem szükséges jogosultság
- Nem szükséges felhasználói interakció
Következmények
Loss of integrity (Sértetlenség elvesztése)
Publikálás dátuma: 2022.12.01.
Leírás
Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.
Leírás forrása: CWE-502
Hivatkozások
http://packetstormsecurity.com/files/175095/PyTorch-Model-Server-Registration-Deserialization-Remote-Code-Execution.html
http://www.openwall.com/lists/oss-security/2023/11/19/1
https://bitbucket.org/snakeyaml/snakeyaml/issues/561/cve-2022-1471-vulnerability-in#comment-64581479
https://github.com/google/security-research/security/advisories/GHSA-mjmj-j48q-9wg2
https://github.com/mbechler/marshalsec
https://groups.google.com/g/kubernetes-security-announce/c/mwrakFaEdnc
https://security.netapp.com/advisory/ntap-20230818-0015/
https://www.github.com/mbechler/marshalsec/blob/master/marshalsec.pdf?raw=true