支持本站 — 捐款将帮助我们持续运营

目标: 1000 元,已筹: 1000

100.0%
立即捐款
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2021-43811 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Code injection via unsafe YAML loading
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Sockeye is an open-source sequence-to-sequence framework for Neural Machine Translation built on PyTorch. Sockeye uses YAML to store model and data configurations on disk. Versions below 2.3.24 use unsafe YAML loading, which can be made to execute arbitrary code embedded in config files. An attacker can add malicious code to the config file of a trained model and attempt to convince users to download and run it. If users run the model, the embedded code will run locally. The issue is fixed in version 2.3.24.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对生成代码的控制不恰当(代码注入)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Sockeye 代码注入漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Sockeye是一个基于 PyTorch 的用于神经机器翻译的开源序列到序列框架。 Sockeye 存在代码注入漏洞,该漏洞源于Sockeye使用YAML在磁盘上存储模型和数据配置,Sockeye2.3.24以下的版本使用不安全的YAML加载,它可以执行嵌入在配置文件中的任意代码。攻击者可利用该漏洞可以将恶意代码添加到经过训练的模型的配置文件中,并试图说服用户下载并运行它。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
厂商产品影响版本CPE订阅
awslabssockeye < 2.3.24 -
二、漏洞 CVE-2021-43811 的公开POC
#POC 描述源链接神龙链接
1awslabs/sockeye Code injection via unsafe YAML loading CVE-2021-43811https://github.com/s-index/CVE-2021-43811POC详情
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC
三、漏洞 CVE-2021-43811 的情报信息
Please 登录 to view more intelligence information
四、漏洞 CVE-2021-43811 的评论

暂无评论

发表评论