发布日期：2025-03-20
更新日期：2025-06-16

受影响系统：

onnx/onnx onnx/onnx <= 1.16.1

描述：

---

CVE(CAN) ID: CVE-2024-7776

onnx/onnx是ONNX开源的一个机器学习互操作性的开放标准。
onnx/onnx 1.16.1及之前版本的download_model函数存在任意文件覆盖漏洞，该漏洞源于程序未防止tar文件中的路径遍历攻击，攻击者可利用该漏洞覆盖用户目录中的文件，从而远程执行命令。

<**>

建议：

---

厂商补丁：

onnx/onnx
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://huntr.com/bounties/a7a46cf6-1fa0-454b-988c-62d222e83f63

浏览次数：89
严重程度：0（网友投票）