Vulnerabilidad en ACON (CVE-2024-49361)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

18/10/2024

Última modificación:

21/10/2024

Descripción

ACON es una librería de herramientas de aprendizaje automático ampliamente utilizada que se centra en la optimización de la correlación adaptativa. Se ha identificado una vulnerabilidad potencial en el proceso de validación de entrada, que podría provocar la ejecución de código arbitrario si se explota. Este problema podría permitir que un atacante envíe datos de entrada maliciosos, evitando la validación de entrada, lo que da como resultado la ejecución remota de código en ciertas aplicaciones de aprendizaje automático que utilizan la librería ACON. Todos los usuarios que utilizan las funciones de manejo de entrada de ACON corren un riesgo potencial. En concreto, los modelos o aplicaciones de aprendizaje automático que ingieren datos generados por el usuario sin una desinfección adecuada son los más vulnerables. Los usuarios que ejecutan ACON en servidores de producción corren un mayor riesgo, ya que la vulnerabilidad podría explotarse de forma remota. Al momento de la publicación, no está claro si hay una solución disponible.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0

8.10

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/torinriley/ACON/security/advisories/GHSA-345g-6rmp-3cv9