Vulnerabilidad en Deeplearning4J (CVE-2022-36022)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-330
Uso de valores insuficientemente aleatorios
Fecha de publicación:
10/11/2022
Última modificación:
15/11/2022
Descripción
Deeplearning4J es un conjunto de herramientas para implementar y entrenar modelos de aprendizaje profundo utilizando JVM. Los paquetes org.deeplearning4j:dl4j-examples y org.deeplearning4j:platform-tests hasta la versión 1.0.0-M2.1 pueden usar algunos depósitos S3 no reclamados en las pruebas de los ejemplos. Es probable que esto afecte a las personas que usan algunos ejemplos de PNL más antiguos que hacen referencia a un antiguo depósito de S3. El problema ha sido solucionado. Los usuarios deben actualizar a instantáneas ya que Deeplearning4J planea publicar una versión con la solución en una fecha posterior. Como workaround, descargue un vector de noticias de Google en word2vec desde una nueva fuente usando git lfs desde aquí.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eclipse:deeplearning4j:*:*:*:*:*:*:*:* | 1.0.0 (excluyendo) | |
| cpe:2.3:a:eclipse:deeplearning4j:1.0.0:beta5:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:deeplearning4j:1.0.0:beta6:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:deeplearning4j:1.0.0:beta7:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:deeplearning4j:1.0.0:milestone1:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:deeplearning4j:1.0.0:milestone1.1:*:*:*:*:*:* | ||
| cpe:2.3:a:eclipse:deeplearning4j:1.0.0:milestone2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página