3
- شناسه CVE-2025-0649 :CVE
- CWE-121 :CWE
- yes :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 8.9
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: برنامه نویسی
- برند: Google
- محصول: Tensorflow
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
این آسیبپذیری از نوع Stack Exhaustion در سرویس Tensorflow Serving است که در اثر پردازش نادرست ورودیهای JSON ممکن است منجر به کرش کردن سرور شود.
توضیحات
در نسخههای آسیبپذیر سرویس Tensorflow Serving تا نسخه 2.18.0، پردازش نادرست رشتههای JSON باعث ایجاد بازگشتهای بیپایان (unbounded recursion) در کد میشود. این مسئله منجر به مصرف کامل حافظه پشته (Stack) و در نهایت کرش کردن سرویس میشود.
CVSS
| Score | Severity | Version | Vector String |
| 8.9 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 through 2.18.0 | Tensorflow |
لیست محصولات بروز شده
| Versions | Product |
| Commit 6cb0131, 2.18.0 and later | Tensorflow |
نتیجه گیری
توصیه میشود که کاربران Tensorflow Serving در اسرع وقت به نسخه های بالاتر از 2.18.0 بهروزرسانی کنند. همچنین بررسی و فیلتر ورودیهای JSON از منابع نامعتبر برای جلوگیری از این حملات توصیه میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0649
- https://www.cvedetails.com/cve/CVE-2025-0649/
- https://github.com/tensorflow/serving/commit/6cb013167d13f2ed3930aabb86dbc2c8c53f5adf
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0649
- https://vuldb.com/?id.307679
- https://nvd.nist.gov/vuln/detail/cve-2025-0649
- https://cwe.mitre.org/data/definitions/121.html
