CloudSync
Whatsapp
Atendimento: (18) 98122-8069
Acesso: Painel do Cliente
Menu

Notícias

32 falhas em plataformas de I.A. de código aberto

13/06/2024 - Risco Iminente
32 falhas em plataformas de I.A. de código aberto

O mais grave desses bugs é o CVE-2024-22476 (pontuação CVSS de 10), uma validação de entrada inadequada no software Intel Neural Compressor que pode permitir a invasores remotos elevar seus privilégios. A falha foi corrigida em meados de maio .

Um problema de gravidade crítica no ChuanhuChatGPT (CVE-2024-3234) que permitia que invasores roubassem arquivos confidenciais existia porque o aplicativo usava uma iteração desatualizada e vulnerável do pacote Python de código aberto da Gradio. Já o LoLLMs foi considerado vulnerável a um desvio de proteção de passagem de caminho (CVE-2024-3429) que leva à leitura arbitrária de arquivos, que pode ser explorada para acessar dados confidenciais ou causar uma condição de negação de serviço (DoS).

Duas vulnerabilidades de gravidade crítica no Qdrant (CVE-2024-3584 e CVE-2024-3829) podem permitir que invasores gravem e substituam arquivos arbitrários no servidor, permitindo potencialmente o controle total. Descobriu-se também que o Lunary permite que os usuários “acessem projetos por meio da API de uma organização que eles não deveriam ter autorização para acessar”. O problema é rastreado como CVE-2024-4146.

Outras falhas de gravidade crítica descobertas por pesquisadores da comunidade Huntr incluem: falsificação de solicitação de site de servidor (SSRF) em AnythingLLM, referência direta de objeto insegura (IDOR) em Lunary, falta de mecanismos de autorização e autenticação em Lunary, higienização de caminho inadequada em LoLLMs, travessia de caminho em AnythingLLM e injeção de log no Nvidia Triton Inference Server para Linux.

Uma dúzia de outras vulnerabilidades de alta gravidade foram identificadas e relatadas no LoLLMs, Lunary, AnythingLLM, Deep Java Library (DJL), Scrapy e Gradio.

“É importante observar que todas as vulnerabilidades foram relatadas aos mantenedores pelo menos 45 dias antes da publicação deste relatório, e continuamos a trabalhar com os mantenedores para garantir uma correção oportuna antes da publicação”, observa a Protect AI.

Créditos: CISO Advisor

CloudSync
A CloudSync
Soluções Backup Manager Backup Para Servidores
NEWSLETTER Fique por dentro das novidades e promoções.
Atendimento: (11) 5026-2945 - Seg à Sex
08h00 – 17h00
São Paulo - SP Rua Dom Pedro Henrique de Orleans e Bragança, 750 - Vila Jaguara, São Paulo/SP
CEP: 02675-031
Email: contato@cloudsync.com.br
CloudSync - Todos os direitos reservados Política de Privacidade Global Websites