CVE-2021-37666 in TensorFlowالمعلومات

الملخص

بحسب VulDB • 31/05/2026

TensorFlow هو منصة مفتوحة المصدر شاملة (end-to-end) لتعلم الآلة. في الإصدارات المتأثرة، يمكن لمهاجم التسبب في سلوك غير محدد (undefined behavior) من خلال ربط مرجع (binding a reference) إلى مؤشر فارغ (null pointer) في `tf.raw_ops.RaggedTensorToVariant`. يحتوي [التنفيذ](https://github.com/tensorflow/tensorflow/blob/460e000de3a83278fb00b61a16d161b1964f15f4/tensorflow/core/kernels/ragged_tensor_to_variant_op.cc#L129) على تحقق غير كامل من قيم الفواصل (splits values)، حيث يغفل الحالة التي يكون فيها الوسيطة فارغة. لقد قمنا بتصحيح المشكلة في التزام GitHub be7a4de6adfbd303ce08be4332554dff70362612. سيتم تضمين الإصلاح في TensorFlow 2.6.0. كما سنقوم بإجراء cherrypick لهذا الالتزام على TensorFlow 2.5.1، وTensorFlow 2.4.3، وTensorFlow 2.3.4، نظراً لأن هذه الإصدارات متأثرة أيضاً ولا تزال ضمن نطاق الدعم.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub, Inc.

حجز

29/07/2021

إفشاء

13/08/2021

الاعتدال

تمت الموافقة

إدخال

VDB-180769

EPSS

0.00173

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!