Nieprawidłowa walidacja danych wejściowych w oprogramowaniu Intel Neural Compressor przed wersją 2.5.0 umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień przez zdalny dostęp. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną.
▸ Pokaż oryginał (EN)
Improper input validation in some Intel(R) Neural Compressor software before version 2.5.0 may allow an unauthenticated user to potentially enable escalation of privilege via remote access.
Błąd polega na niewłaściwej walidacji danych wejściowych (CWE-20), co oznacza, że oprogramowanie nie sprawdza poprawnie danych otrzymywanych z sieci przed ich przetworzeniem. Atakujący może przesłać specjalnie spreparowane dane do podatnego systemu bez konieczności uwierzytelniania. Skutkiem jest możliwość eskalacji uprawnień w kontekście wykraczającym poza zakres samej aplikacji (wektor Scope: Changed w CVSS), co wskazuje na potencjalny wpływ na cały system operacyjny lub inne komponenty środowiska.
Nieuwierzytelniony zdalny atakujący może uzyskać eskalację uprawnień, prowadzącą do pełnego naruszenia poufności, integralności i dostępności systemu, na którym działa podatne oprogramowanie.
Należy zaktualizować oprogramowanie Intel Neural Compressor do wersji 2.5.0 lub nowszej. Szczegółowe informacje dostępne są w poradniku bezpieczeństwa Intel pod adresem: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01109.html
Intel Neural Compressor w wersjach przed 2.5.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H