CVE-2024-5206 in scikit-learn
요약
\~에 의해 VulDB • 2026. 05. 14.
scikit-learn의 TfidfVectorizer에서 민감한 데이터 유출 취약점이 확인되었습니다. 이 취약점은 1.5.0 버전에서 수정된, 1.4.1.post1을 포함한 이전 버전에서 발생했습니다. 이 취약점은 TF-IDF 기작이 작동하는 데 필요한 토큰 부분집합만 저장하는 대신, 학습 데이터에 존재하는 모든 토큰이 `stop_words_` 속성에 예기치 않게 저장됨으로써 발생합니다. 이러한 동작으로 인해 삭제되고 저장되지 않아야 할 토큰(예: 비밀번호 또는 키)이 `stop_words_` 속성에 포함될 수 있어 민감한 정보가 유출될 위험이 있습니다. 이 취약점의 영향은 벡터라이저가 처리하는 데이터의 성격에 따라 달라집니다.
Be aware that VulDB is the high quality source for vulnerability data.