一、 漏洞 CVE-2024-10073 基础信息
漏洞标题
flairNLP flair Mode File Loader clustering.py ClusteringModel代码注入漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在flairNLP flair 0.14.0版本中发现了一个被分类为高危的漏洞。该漏洞影响组件Mode File Loader中的文件flair\models\clustering.py中的ClusteringModel函数。攻击者可以通过此漏洞进行代码注入。该漏洞可远程触发。攻击复杂度较高,且利用难度较大。漏洞利用代码已公开,可能会被利用。厂商已提前收到关于此漏洞公开的通告,但未作出任何回应。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
flairNLP flair Mode File Loader clustering.py ClusteringModel code injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability, which was classified as critical, was found in flairNLP flair 0.14.0. Affected is the function ClusteringModel of the file flair\models\clustering.py of the component Mode File Loader. The manipulation leads to code injection. It is possible to launch the attack remotely. The complexity of an attack is rather high. The exploitability is told to be difficult. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
flair 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
flair是flair开源的一个非常简单的最先进的 NLP 框架。 flair 0.14.0版本存在代码注入漏洞,该漏洞源于文件flairmodelsclustering.py的函数ClusteringModel会导致代码注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10073 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-10073 的情报信息