N/A

NVFLARE, versions prior to 2.1.2, contains a vulnerability in its PKI implementation module, where The CA credentials are transported via pickle and no safe deserialization. The deserialization of Untrusted Data may allow an unprivileged network attacker to cause Remote Code Execution, Denial Of Service, and Impact to both Confidentiality and Integrity.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

可信数据的反序列化

NVIDIA NVFLARE 代码问题漏洞

NVIDIA NVFLARE是美国英伟达（NVIDIA）公司的一个独立的 Python 库。旨在支持各方之间的联合学习，使用其本地安全受保护数据进行客户端培训，同时它包括协调和交换所有站点的结果进展的功能，以实现更好的全局模型，同时保护数据隐私。 NVIDIA NVFLARE 2.1.2 之前的版本存在安全漏洞，该漏洞源于PKI 实现模块中包含一个漏洞，其中 CA 凭据通过 pickle 传输并且没有安全反序列化。 Untrusted Data 的反序列化可能允许无特权的网络攻击者导致远程代码执行、拒绝服

N/A

N/A