onnx jusqu’à 1.21.x onnxruntime onnx/defs/nn/old.cc convPoolShapeInference_opset19 divulgation d'information
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 3.9 | $0-$5k | 1.53 |
Résumé
Une vulnérabilité classée comme problématique a été trouvée dans onnx jusqu’à 1.21.x. Affecté par ce problème est la fonction convPoolShapeInference_opset19 du fichier onnx/defs/nn/old.cc du composant onnxruntime. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe divulgation d'information.
Cette vulnérabilité est référencée sous CVE-2026-14647. L'attaque peut être lancée à distance. De plus, un exploit est disponible.
Il est recommandé d'appliquer un correctif pour résoudre ce problème.
Détails
Une vulnérabilité a été trouvé dans onnx jusqu’à 1.21.x et classée problématique. Affecté est la fonction convPoolShapeInference_opset19 du fichier onnx/defs/nn/old.cc du composant onnxruntime. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe divulgation d'information.
La notice d'information est disponible en téléchargement sur github.com Cette vulnérabilité a été nommée CVE-2026-14647. L'exploitation est considérée comme facile. Il est possible de lancer l'attaque à distance. Des details techniques et un public exploit sont connus.
L'exploit est disponible au téléchargment sur github.com. Il est déclaré comme preuve de concept.
En appliquant le correctif a7bf3a0f1d18bb62575236ef6e4944980c40e045 il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur github.com.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produit
Nom
Version
Licence
Site web
- Produit: https://github.com/onnx/onnx/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔒VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 4.3VulDB Score méta-temporaire: 3.9
VulDB Note de base: 4.3
VulDB Note temporaire: 3.9
VulDB Vecteur: 🔒
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔒
VulDB Note temporaire: 🔒
VulDB Fiabilité: 🔍
Exploitation
Classe: Divulgation d'informationCWE: CWE-125 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔒
Accès: Public
Statut: Preuve de concept
Télécharger: 🔒
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔒
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: CorrectifStatut: 🔍
Heure 0 jour: 🔒
Correctif: a7bf3a0f1d18bb62575236ef6e4944980c40e045
Chronologie
03/07/2026 Avis publié03/07/2026 Entrée VulDB créée
03/07/2026 Dernière mise à jour VulDB
Sources
Produit: github.comBulletin: 8036
Statut: Confirmé
Confirmation: 🔒
CVE: CVE-2026-14647 (🔒)
GCVE (CVE): GCVE-0-2026-14647
GCVE (VulDB): GCVE-100-376160
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrée
Créé: 03/07/2026 20:34Changements: 03/07/2026 20:34 (60)
Complet: 🔍
Auteur: m00dy
Cache ID: 216::103
Soumettre
Accepté
- Soumettre #846317: onnx unpatched (HEAD); via onnxruntime 1.22.0 bundle Out-of-Bounds Read (par m00dy)
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.