CRITICAL🇬🇧 English

CVE-2024-36736

Błąd obliczeniowy w komponencie oneflow.permute biblioteki OneFlow

CVSS 9.8v3.1pub. 2024-06-06upd. 2025-03-25

Podatność w komponencie oneflow.permute biblioteki OneFlow v0.9.1 powoduje nieprawidłowe obliczenia podczas wykonywania operacji na tej samej wymiarze. Błąd sklasyfikowany jako krytyczny może prowadzić do nieoczekiwanych i nieprawidłowych wyników obliczeń w środowiskach przetwarzania danych.

Pokaż oryginał (EN)

An issue in the oneflow.permute component of OneFlow-Inc. Oneflow v0.9.1 causes an incorrect calculation when the same dimension operation is performed.

🤖 Analiza AI
Jak działa

Podatność (CWE-682 — nieprawidłowe obliczenia) ujawnia się w komponencie oneflow.permute podczas wykonywania operacji permutacji na tym samym wymiarze tensora. Gdy użytkownik przekaże operację dotyczącą identycznego wymiaru, biblioteka wykonuje błędne obliczenia zamiast poprawnie obsłużyć taki przypadek. Szczegółowy dowód koncepcji (proof-of-concept) został opublikowany w zewnętrznym repozytorium GitHub.

Skutki

Atakujący lub nieuprawniony użytkownik może doprowadzić do błędnych wyników obliczeń numerycznych, co może skutkować naruszeniem integralności danych przetwarzanych przez modele lub potoki obliczeniowe oparte na bibliotece OneFlow. W zależności od kontekstu zastosowania konsekwencje mogą obejmować nieprawidłowe działanie systemów uczenia maszynowego korzystających z tej biblioteki.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się sprawdzenie dostępności nowszej wersji biblioteki OneFlow oraz śledzenie oficjalnego repozytorium projektu w celu uzyskania informacji o poprawce.

Kogo dotyczy

OneFlow-Inc. Oneflow v0.9.1 — komponent oneflow.permute

Uwagi

Publiczny proof-of-concept dla tej podatności jest dostępny pod adresem wskazanym w referencjach (gist.github.com/Redmept1on). Pomimo oceny CVSS 9.8 (CRITICAL) podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oneflow

    APP
    Oneflow
    0.9.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-65889HIGH7.5ten sam produkt

A type validation flaw in the flow.dstack() component of OneFlow v0.9.0 allows attackers to cause a Denial of ...

CVE-2025-65890HIGH7.5ten sam produkt

A device-ID validation flaw in OneFlow v0.9.0 allows attackers to cause a Denial of Service (DoS) by calling f...

CVE-2025-65886HIGH7.5ten sam produkt

A shape mismatch vulnerability in OneFlow v0.9.0 allows attackers to cause a Denial of Service (DoS) via suppl...

CVE-2025-65888HIGH7.5ten sam produkt

A dimension validation flaw in the flow.empty() component of OneFlow 0.9.0 allows attackers to cause a Denial ...

CVE-2025-65891HIGH7.5ten sam produkt

A GPU device-ID validation flaw in OneFlow v0.9.0 allows attackers to trigger a Denial of Dervice (DoS) by inv...