棱镜七彩安全预警
近日网上有关于开源项目NVFlare 不可信数据的反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。
项目主页
NVIDIA FLARE — NVIDIA FLARE 2.1.0 documentation
代码托管地址
GitHub - NVIDIA/NVFlare: NVIDIA Federated Learning Application Runtime Environment
CVE编号
CVE-2022-34668
漏洞情况
NVFlare 是一个开源框架,使数据科学家和 FL 研究人员能够在不共享私人数据的情况下协作和构建 AI 模型。
在 NVFlare 的漏洞版本中由于使用Pickle模块而存在不可信数据的反序列化漏洞。
攻击者可利用该漏洞执行任意代码,甚至接管服务器。
受影响的版本
nvflare@(∞, 2.1.4)
修复方案
升级nvflare到2.1.4或更高版本
链接地址:
NVFLARE unsafe deserialization due to Pickle · Advisory · NVIDIA/NVFlare · GitHub