CRITICAL✓ PATCH🇬🇧 English

CVE-2024-22476

Krytyczna podatność w Intel Neural Compressor — eskalacja uprawnień przez sieć

CVSS 10.0v3.1pub. 2024-05-16upd. 2026-04-15

Nieprawidłowa walidacja danych wejściowych w oprogramowaniu Intel Neural Compressor przed wersją 2.5.0 umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień przez zdalny dostęp. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną.

Pokaż oryginał (EN)

Improper input validation in some Intel(R) Neural Compressor software before version 2.5.0 may allow an unauthenticated user to potentially enable escalation of privilege via remote access.

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwej walidacji danych wejściowych (CWE-20), co oznacza, że oprogramowanie nie sprawdza poprawnie danych otrzymywanych z sieci przed ich przetworzeniem. Atakujący może przesłać specjalnie spreparowane dane do podatnego systemu bez konieczności uwierzytelniania. Skutkiem jest możliwość eskalacji uprawnień w kontekście wykraczającym poza zakres samej aplikacji (wektor Scope: Changed w CVSS), co wskazuje na potencjalny wpływ na cały system operacyjny lub inne komponenty środowiska.

Skutki

Nieuwierzytelniony zdalny atakujący może uzyskać eskalację uprawnień, prowadzącą do pełnego naruszenia poufności, integralności i dostępności systemu, na którym działa podatne oprogramowanie.

Mitygacja

Należy zaktualizować oprogramowanie Intel Neural Compressor do wersji 2.5.0 lub nowszej. Szczegółowe informacje dostępne są w poradniku bezpieczeństwa Intel pod adresem: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01109.html

Kogo dotyczy

Intel Neural Compressor w wersjach przed 2.5.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje