CVE-2024-5206— scikit-learn 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2024-5206 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Sensitive Data Leakage in sklearn.feature_extraction.text.TfidfVectorizer in scikit-learn/scikit-learn
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
A sensitive data leakage vulnerability was identified in scikit-learn's TfidfVectorizer, specifically in versions up to and including 1.4.1.post1, which was fixed in version 1.5.0. The vulnerability arises from the unexpected storage of all tokens present in the training data within the `stop_words_` attribute, rather than only storing the subset of tokens required for the TF-IDF technique to function. This behavior leads to the potential leakage of sensitive information, as the `stop_words_` attribute could contain tokens that were meant to be discarded and not stored, such as passwords or keys. The impact of this vulnerability varies based on the nature of the data being processed by the vectorizer.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
在没有访问控制机制中存储敏感数据
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
scikit-learn 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
scikit-learn是一款基于Python的开源机器学习程序包,它支持垃圾邮件检测、图像识别和关联的连续值属性预测等功能。 scikit-learn 1.4.1.post1及之前版本存在安全漏洞,该漏洞源于在stop_words_属性中意外存储了训练数据中存在的所有标记,可能导致敏感信息泄露。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| scikit-learn | scikit-learn/scikit-learn | unspecified ~ 1.5.0 | - |
二、漏洞 CVE-2024-5206 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2024-5206 的情报信息
请登录查看更多情报信息。
CVE-2024-5206 补丁与修复 (1)
CVE-2024-5206 厂商安全公告 (1)
IV. Related Vulnerabilities
V. Comments for CVE-2024-5206
暂无评论