一、 漏洞 CVE-2020-13092 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
**争议** 自0.23.0版本起,scikit-learn(aka sklearn)可以从一个未授权的文件传递给joblib.load()函数来unserialize和执行命令,如果__reduce__调用了os.system调用。请注意:第三方对此存在争议,因为joblib.load()函数被标记为不安全,用户有责任以安全的方式使用该函数。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
scikit-learn (aka sklearn) through 0.23.0 can unserialize and execute commands from an untrusted file that is passed to the joblib.load() function, if __reduce__ makes an os.system call. NOTE: third parties dispute this issue because the joblib.load() function is documented as unsafe and it is the user's responsibility to use the function in a secure manner
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
scikit-learn 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
scikit-learn是一款基于Python的开源机器学习程序包,它支持垃圾邮件检测、图像识别和关联的连续值属性预测等功能。 scikit-learn (sklearn) 0.23.0及之前版本中存在安全漏洞。攻击者可利用该漏洞执行命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-13092 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-13092 的情报信息