Open Neural Network Exchange (ONNX) — это открытый стандарт совместимости машинного обучения. До версии 1.21.0 была проблема в onnx.load: код проверяет символические ссылки, чтобы предотвратить обход пути, но полностью пропускает жесткие ссылки, поскольку жесткая ссылка выглядит точно так же, как обычный файл в файловой системе. Эта проблема исправлена в версии 1.21.0.
Показать оригинальное описание (EN)
Open Neural Network Exchange (ONNX) is an open standard for machine learning interoperability. Prior to version 1.21.0, there is an issue in onnx.load, the code checks for symlinks to prevent path traversal, but completely misses hardlinks because a hardlink looks exactly like a regular file on the filesystem. This issue has been patched in version 1.21.0.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1