漏洞復現 | Google TensorFlow 任意代碼執行漏洞

0x01 漏洞描述

Google TensorFlow是美國谷歌（Google）公司的一套用于機器學習的端到端開源平臺。

360漏洞云監測到TensorFlow存在任意代碼執行漏洞（CVE-2021-37678）。該漏洞源于產品從YAML格式反序列化Keras模型時未對輸入數據做有效驗證，攻擊者可利用該漏洞實現任意代碼執行。

0x02 危害等級

高危：8.8

0x03 漏洞復現

360漏洞云已成功復現該漏洞，演示如下：

完整POC代碼已在360漏洞云情報平臺發布，360漏洞云情報平臺用戶可通過平臺下載進行安全自檢。

0x04 影響版本

Google TensorFlow <2.6.0

0x05 修復版本

TensorFlow 2.6.0

TensorFlow 2.5.1

TensorFlow 2.4.3

TensorFlow 2.3.4

0x06 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本。