Google TensorFlow任意代碼執行漏洞（CVE-2021-37678）預警

一、漏洞情況

近日，谷歌發布了Google TensorFlow存在任意代碼執行漏洞的風險通告，該漏洞CVE編號：CVE-2021-37678。攻擊者可利用該漏洞實現任意代碼執行。目前廠商已修復該漏洞，建議受影響用戶及時升級至安全版本進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Google TensorFlow是美國谷歌（Google）公司的一套用于機器學習的端到端開源平臺。

該漏洞源于產品從YAML格式反序列化Keras模型時未對輸入數據做有效驗證，攻擊者可利用該漏洞實現任意代碼執行。

四、影響范圍

• Google TensorFlow 2.5.1
• Google TensorFlow 2.4.3
• Google TensorFlow 2.3.4

五、安全建議

建議受影響的用戶盡快升級至TensorFlow 2.6.0或更高版本。

參考鏈接：

https://github.com/tensorflow/tensorflow/security/advisories/GHSA-r6jx-9g48-2r5r

六、參考鏈接

https://github.com/tensorflow/tensorflow/commit/23d6383eb6c14084a8fc3bdf164043b974818012