CVE-2021-37664 in TensorFlow
Resumen
por VulDB • 2026-06-03
TensorFlow es una plataforma de código abierto integral para el aprendizaje automático (machine learning). En las versiones afectadas, un atacante puede leer datos fuera de los límites asignados en el heap enviando argumentos ilegales especialmente manipulados a `BoostedTreesSparseCalculateBestFeatureSplit`. La [implementación](https://github.com/tensorflow/tensorflow/blob/84d053187cb80d975ef2b9684d4b61981bca0c41/tensorflow/core/kernels/boosted_trees/stats_ops.cc) debe validar que cada valor en `stats_summary_indices` esté dentro del rango. Hemos corregido el problema mediante el commit e84c975313e8e8e38bb2ea118196369c45c51378 de GitHub. La corrección se incluirá en TensorFlow 2.6.0. También aplicaremos este cambio (cherrypick) a TensorFlow 2.5.1, TensorFlow 2.4.3 y TensorFlow 2.3.4, ya que estas versiones también están afectadas y siguen estando dentro del rango de soporte.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.