漏洞预警|NVFlare 不可信数据的反序列化漏洞
棱镜七彩安全预警
近日网上有关于开源项目NVFlare 不可信数据的反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。
项目主页
https://nvflare.readthedocs.io/
代码托管地址
https://github.com/NVIDIA/NVFlare
CVE编号
CVE-2022-34668
漏洞情况
NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。
在 NVFlare 的漏洞版本中由于使用Pickle模块而存在不可信数据的反序列化漏洞。
攻击者可利用该漏洞执行任意代码,甚至接管服务器。
受影响的版本
nvflare@(∞, 2.1.4)
修复方案
升级nvflare到2.1.4或更高版本
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2022-34668
https://github.com/NVIDIA/NVFlare/security/advisories/GHSA-6qv6-q77g-7qm6
