HumanSignal label-studio-ml-backend حتى 9fb7f4aa186612806af2becfb621f6ed8d9fdbaf PT File neural_nets.py load path تجاوز الصلاحيات
الملخص
تم أكتشاف ثغرة أمنية في HumanSignal label-studio-ml-backend حتى 9fb7f4aa186612806af2becfb621f6ed8d9fdbaf. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في الدالة الحمل من الملف label-studio-ml-backend/label_studio_ml/examples/yolo/utils/neural_nets.py من العنصر PT File Handler. عند التلاعب بالوسيط path ينتج تجاوز الصلاحيات.
أسم الثغرة الأمنية هوCVE-2025-5173. يتطلب الهجوم الوصول المحلي. لا يتوفر أي استغلال.
يعتمد هذا المنتج على آلية الإصدارات المتتابعة لتوفير التحديثات المستمرة، ولهذا السبب لا تتوفر بيانات حول الإصدارات المتأثرة أو التي تم تحديثها.
التفاصيل
تم أكتشاف ثغرة أمنية في HumanSignal label-studio-ml-backend حتى 9fb7f4aa186612806af2becfb621f6ed8d9fdbaf. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في الدالة الحمل من الملف label-studio-ml-backend/label_studio_ml/examples/yolo/utils/neural_nets.py من العنصر PT File Handler. عند التلاعب بالوسيط path ينتج تجاوز الصلاحيات. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-502. تم الإعلان عن الثغرة من خلال XingTu Team of Legendsec at QI-ANXIN تحت 765. يمكن عرض الاستشارة من هنا github.com.
أسم الثغرة الأمنية هوCVE-2025-5173. يتطلب الهجوم الوصول المحلي. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال.
إذا كان هناك قيمة لـ غير معرفة، فسيتم التصريح بأنه غير معرفة.
يعتمد هذا المنتج على آلية الإصدارات المتتابعة لتوفير التحديثات المستمرة، ولهذا السبب لا تتوفر بيانات حول الإصدارات المتأثرة أو التي تم تحديثها.
منتج
المجهز
الأسم
النسخة
موقع إلكتروني
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔒VulDB الاعتمادية: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA متجه: 🔒
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.3VulDB الدرجة المؤقتة للميتا: 5.2
VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 5.1
VulDB متجه: 🔒
VulDB الاعتمادية: 🔍
CNA الدرجة الأساسية: 5.3
CNA متجه: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔒
VulDB الدرجة المؤقتة: 🔒
VulDB الاعتمادية: 🔍
استغلال
الفئة: تجاوز الصلاحياتCWE: CWE-502 / CWE-20
CAPEC: 🔒
ATT&CK: 🔒
ملموس: جزئي
محلي: نعم
عن بُعد: لا
التوفر: 🔒
الحالة: غير معرفة
EPSS Score: 🔒
EPSS Percentile: 🔒
تقدير السعر: 🔍
تقدير السعر الحالي: 🔒
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔒
الجدول الزمني
25/05/2025 تم نشر الاستشارة25/05/2025 تم إنشاء إدخال VulDB
27/05/2025 آخر تحديث في VulDB
المصادر
منتج: github.comاستشارة: 765
منظمة: XingTu Team of Legendsec at QI-ANXIN
الحالة: غير معرفة
CVE: CVE-2025-5173 (🔒)
GCVE (CVE): GCVE-0-2025-5173
GCVE (VulDB): GCVE-100-310261
إدخال
تم الإنشاء: 25/05/2025 03:40 PMتم التحديث: 27/05/2025 01:51 PM
التغييرات: 25/05/2025 03:40 PM (56), 26/05/2025 09:21 AM (30), 26/05/2025 01:38 PM (1), 27/05/2025 01:51 PM (1)
كامل: 🔍
المقدم: ybdesire
المتعهد: ybdesire
Cache ID: 216::103
إرسال
تمت الموافقة
- إرسال #578126: HumanSignal label-studio-ml-backend 0.0 Deserialization (بحسب ybdesire)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق