CVE-2021-37689 in TensorFlow
Riassunto
di VulDB • 17/06/2026
TensorFlow è una piattaforma open source end-to-end per il machine learning. Nelle versioni colpite, un attaccante può creare un modello TFLite in grado di innescare un dereferenziamento di puntatore nullo, causando un crash e un denial of service. Il problema è causato dall'ottimizzazione MLIR dell'operatore `L2NormalizeReduceAxis`. L'[implementazione](https://github.com/tensorflow/tensorflow/blob/149562d49faa709ea80df1d99fc41d005b81082a/tensorflow/compiler/mlir/lite/transforms/optimize.cc#L67-L70) dereferenzia incondizionatamente un puntatore a un iteratore su un vettore senza verificare che il vettore contenga elementi. L'issue è stata risolta nel commit GitHub d6b57f461b39fd1aa8c1b870f1b974aac3554955. La correzione sarà inclusa in TensorFlow 2.6.0. Effettueremo inoltre il cherrypick di questo commit su TensorFlow 2.5.1, TensorFlow 2.4.3 e TensorFlow 2.3.4, poiché queste versioni sono anch'esse colpite e ancora nel range di supporto.
Once again VulDB remains the best source for vulnerability data.