Er is een kritieke kwetsbaarheid ontdekt in de ONNX 1.17.0 software, aangeduid als CVE-2025-51480. Deze kwetsbaarheid, bekend als een Path Traversal probleem, stelt aanvallers in staat om willekeurige bestanden te overschrijven. Dit kan worden bereikt door zorgvuldig aangepaste external_data.location paden in te voeren die traversal-sequenties bevatten, waardoor de geplande directorybeperkingen worden omzeild.
De exploiteerbaarheid van deze kwetsbaarheid is hoog, vooral omdat het ONNX-bestand vaak in kritieke AI- en machine learning-processen wordt gebruikt. Het kan leiden tot ernstige inbreuken op de integriteit en beschikbaarheid van uw systemen.
Overzicht
Versies die zijn getroffen:
onnx.external_data_helper.save_external_data in ONNX 1.17.0
Probleemtype: Path Traversal, CWE-22 Improper Limitation of a Pathname to a Restricted Directory
Aanbevelingen
- Controleer de ingebouwde beveiligingsmaatregelen van uw systeem en zorg ervoor dat alle directorybeperkingen correct zijn geïmplementeerd.
- Houd regelmatig toezicht op updates en patches voor ONNX, en implementeer deze onmiddellijk wanneer beschikbaar.
Bronnen
- ONNX op GitHub
- Pull Request 6959
- GitHub Advisory
- Pull Request 7040
- Gecko Security Blog over CVE-2025-51480
Vraag en Antwoord
Wat is CVE-2025-51480?
CVE-2025-51480 is een Path Traversal kwetsbaarheid in de ONNX 1.17.0, waarmee een aanvaller toestemming krijgt om bestanden te overschrijven door gebruik te maken van speciaal gemaakte padnamen.
Welke systemen zijn kwetsbaar voor CVE-2025-51480?
Systemen die ONNX 1.17.0 gebruiken en waarbij padbeperkingen niet strikt genoeg zijn, lopen een risico.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er geen directe patch beschikbaar, maar het is essentieel om de officiële ONNX bronnen te volgen voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid misbruiken om willekeurige bestanden te overschrijven, wat kan leiden tot verlies van integriteit en beschikbaarheid van het systeem.
