CVE-2021-37667 in TensorFlow
Sumário
de VulDB • 08/06/2026
O TensorFlow é uma plataforma open source de ponta a ponta para machine learning. Nas versões afetadas, um atacante pode causar comportamento indefinido ao vincular uma referência a um ponteiro nulo em `tf.raw_ops.UnicodeEncode`. A [implementação](https://github.com/tensorflow/tensorflow/blob/460e000de3a83278fb00b61a16d161b1964f15f4/tensorflow/core/kernels/unicode_ops.cc#L533-L539) lê a primeira dimensão do tensor `input_splits` antes de validar que este tensor não está vazio. O problema foi corrigido no commit do GitHub 2e0ee46f1a47675152d3d865797a18358881d7a6. A correção será incluída no TensorFlow 2.6.0. Também faremos o cherrypick deste commit no TensorFlow 2.5.1, TensorFlow 2.4.3 e TensorFlow 2.3.4, pois estas versões também estão afetadas e ainda estão no intervalo de suporte.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.