关键信息 1. 漏洞编号: - VDB-280722 - CVE-2024-10073 2. 漏洞名称: - FLAIRNLP FLAIR 0.14.0 MODE FILE LOADER CLUSTERING.PY CLUSTERINGMODEL CODE INJECTION 3. CVSS Meta Temp Score: - 4.6 4. 当前利用价格: - $0-$5k 5. CTI兴趣评分: - 0.56 6. 受影响的组件: - flairNLP flair 0.14.0 - 文件: flair\models\clustering.py - 组件: Mode File Loader 7. 漏洞描述: - 漏洞被分类为严重,存在于flairNLP flair 0.14.0的文件flair\models\clustering.py的Mode File Loader组件中。 - 通过未知输入,可以导致代码注入漏洞。 - CWE将此问题分类为CWE-94。 - 该产品使用外部组件的输入构造代码段,但未正确中和或中和特殊元素,这些元素可能修改代码段的语法或行为。 - 这将影响机密性、完整性和可用性。 8. 漏洞利用: - 利用难度被描述为困难。 - 可以远程发起攻击。 - 利用不需要任何形式的身份验证。 - 成功利用需要用户交互。 - 技术细节和公共利用已知。 - 漏洞已由MITRE ATT&CK项目标记为T1059。 9. 披露和响应: - 该漏洞的披露信息可以在github.com上找到。 - 漏洞被标记为CWE-2024-10073。 - 利用价格为$0-$5k。 - CTI兴趣评分为0.56。 - 该漏洞被标记为T1059。 10. 产品信息: - 产品: - flairNLP - 供应商: - flairNLP 11. 建议: - 建议替换受影响的组件。 总结 这个漏洞是一个严重的代码注入漏洞,存在于flairNLP flair 0.14.0的文件flair\models\clustering.py的Mode File Loader组件中。它可以通过未知输入触发,影响机密性、完整性和可用性。利用难度被描述为困难,但可以远程发起攻击。技术细节和公共利用已知,建议替换受影响的组件。