CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-34668 – NVFLARE < 2.1.4 - Unsafe Deserialization due to Pickle
https://notcve.org/view.php?id=CVE-2022-34668
NVFLARE, versions prior to 2.1.4, contains a vulnerability that deserialization of Untrusted Data due to Pickle usage may allow an unprivileged network attacker to cause Remote Code Execution, Denial Of Service, and Impact to both Confidentiality and Integrity. NVFLARE, versiones anteriores a 2.1.4, contiene una vulnerabilidad que la Deserialización de Datos No Confiables debido al uso de Pickle puede permitir a un atacante de red no privilegiado causar una Ejecución de Código Remota, Denegación de Servicio, e Impacto a la Confidencialidad e Integridad • https://www.exploit-db.com/exploits/51051 http://packetstormsecurity.com/files/171483/NVFLARE-Unsafe-Deserialization.html https://github.com/NVIDIA/NVFlare/security/advisories/GHSA-6qv6-q77g-7qm6 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-31605
https://notcve.org/view.php?id=CVE-2022-31605
NVFLARE, versions prior to 2.1.2, contains a vulnerability in its utils module, where YAML files are loaded via yaml.load() instead of yaml.safe_load(). The deserialization of Untrusted Data, may allow an unprivileged network attacker to cause Remote Code Execution, Denial Of Service, and Impact to both Confidentiality and Integrity. NVFLARE, versiones anteriores a 2.1.2, contiene una vulnerabilidad en su módulo utils, donde los archivos YAML son cargados por medio de yaml.load() en lugar de yaml.safe_load(). La deserialización de datos no confiables, puede permitir a un atacante no privilegiado en la red causar Ejecución de Código Remota, Denegación de Servicio, e Impacto a la Confidencialidad e Integridad • https://github.com/NVIDIA/NVFlare/security/advisories/GHSA-hrf3-622q-8366 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-31604
https://notcve.org/view.php?id=CVE-2022-31604
NVFLARE, versions prior to 2.1.2, contains a vulnerability in its PKI implementation module, where The CA credentials are transported via pickle and no safe deserialization. The deserialization of Untrusted Data may allow an unprivileged network attacker to cause Remote Code Execution, Denial Of Service, and Impact to both Confidentiality and Integrity. NVFLARE, versiones anteriores a 2.1.2, contiene una vulnerabilidad en su módulo de implementación de PKI, donde las credenciales de la CA son transportadas por medio de pickle y sin deserialización segura. La deserialización de datos no confiables puede permitir a un atacante de red no privilegiado causar Ejecución de Código Remota, Denegación de Servicio, e impacto tanto en la Confidencialidad como en la Integridad • https://github.com/NVIDIA/NVFlare/security/advisories/GHSA-rcxc-3w2m-mp8h • CWE-502: Deserialization of Untrusted Data •