Hugging Face Transformers MobileViTV2 Deserialization of Untrusted Data Remote Code Execution Vulnerability 漏洞信息(CVE-2024-11392)

一、漏洞 CVE-2024-11392 基础信息

漏洞标题

Hugging Face Transformers MobileViTV2不安全反序列化远程代码执行漏洞

来源：AIGC 神龙大模型

漏洞描述信息

Hugging Face Transformers MobileViTV2 存在反序列化不受信任数据的漏洞，可能导致远程代码执行。该漏洞允许远程攻击者在受影响的 Hugging Face Transformers 安装上执行任意代码。利用此漏洞需要用户交互，即目标用户必须访问恶意页面或打开恶意文件。具体漏洞存在于配置文件的处理过程中。该问题源于对用户提供的数据缺乏适当的验证，可能导致反序列化不受信任的数据。攻击者可以利用此漏洞以当前用户的权限执行代码。漏洞编号为 ZDI-CAN-24322。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

可信数据的反序列化

来源：AIGC 神龙大模型

漏洞标题

Hugging Face Transformers MobileViTV2 Deserialization of Untrusted Data Remote Code Execution Vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Hugging Face Transformers MobileViTV2 Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Hugging Face Transformers. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of configuration files. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-24322.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

可信数据的反序列化

来源：美国国家漏洞数据库 NVD

漏洞标题

Hugging Face Transformers 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Hugging Face Transformers是Hugging Face开源的为 Jax、PyTorch 和 TensorFlow 打造的先进的自然语言处理。 Hugging Face Transformers存在代码问题漏洞，该漏洞源于配置文件处理中数据验证不当，可能导致不受信任的数据反序列化，允许远程攻击者执行任意代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-11392 的公开POC

#	POC 描述	源链接	神龙链接
1	Technical Details and Exploit for CVE-2024-11392	https://github.com/Piyush-Bhor/CVE-2024-11392	POC详情

三、漏洞 CVE-2024-11392 的情报信息

标题： ZDI-24-1513 | Zero Day Initiative -- 🔗来源链接

标签： x_research-advisory
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-11392

一、 漏洞 CVE-2024-11392 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-11392 的公开POC

三、漏洞 CVE-2024-11392 的情报信息

一、漏洞 CVE-2024-11392 基础信息