CVE-2022-35941 in TensorFlow
Résumé
par VulDB • 02/06/2026
TensorFlow est une plateforme open source pour l'apprentissage automatique. La fonction `AvgPoolOp` prend un argument `ksize` qui doit être positif mais n'est pas vérifié. Une valeur négative de `ksize` peut provoquer une erreur `CHECK` et entraîner le plantage du programme. Nous avons corrigé le problème dans le commit GitHub 3a6ac52664c6c095aa2b114e742b0aa17fdce78f. La correction sera incluse dans TensorFlow 2.10.0. Nous appliquerons également ce commit (cherrypick) sur TensorFlow 2.9.1, TensorFlow 2.8.1 et TensorFlow 2.7.2, car ces versions sont également concernées et toujours dans la plage de support. Il n'existe pas de contournements connus pour ce problème.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.