CVE-2021-37689 in TensorFlow
الملخص
بحسب VulDB • 26/06/2026
TensorFlow هو منصة مفتوحة المصدر شاملة (من البداية إلى النهاية) لتعلم الآلة. في الإصدارات المتأثرة، يمكن لمهاجم إنشاء نموذج TFLite يؤدي إلى حدوث خطأ إلغاء مرجع المؤشر الفارغ (null pointer dereference)، مما يتسبب في تعطل النظام وحرمان الخدمة (Denial of Service). ينتج هذا الخطأ عن تحسين MLIR لمشغل `L2NormalizeReduceAxis`. يقوم [التنفيذ](https://github.com/tensorflow/tensorflow/blob/149562d49faa709ea80df1d99fc41d005b81082a/tensorflow/compiler/mlir/lite/transforms/optimize.cc#L67-L70) بإلغاء مرجع مؤشر إلى مكرر (iterator) لمصفوفة بشكل غير مشروط دون التحقق مما إذا كانت المصفوفة تحتوي على عناصر. لقد قمنا بتصحيح المشكلة في التزام d6b57f461b39fd1aa8c1b870f1b974aac3554955 على GitHub. سيتم تضمين الإصلاح في TensorFlow 2.6.0. كما سنقوم باختيار هذا الالتزام (cherrypick) لإضافته إلى TensorFlow 2.5.1 وTensorFlow 2.4.3 وTensorFlow 2.3.4، حيث أن هذه الإصدارات متأثرة أيضاً ولا تزال ضمن نطاق الدعم.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.