从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(0Day) Hugging Face Transformers MobileViTV2 Deserialization of Untrusted Data Remote Code Execution Vulnerability 2. 漏洞编号:ZDI-24-1513, ZDI-CAN-24322 3. CVE编号:CVE-2024-11392 4. CVSS分数:7.5, AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H 5. 受影响的厂商:Hugging Face 6. 受影响的产品:Transformers 7. 漏洞细节: - 远程攻击者可以利用此漏洞在受影响的Hugging Face Transformers安装上执行任意代码。 - 用户交互是必要的,目标必须访问恶意页面或打开恶意文件。 - 问题存在于配置文件的处理中,由于缺乏对用户提供的数据的适当验证,导致了不信任数据的反序列化。攻击者可以利用此漏洞在当前用户上下文中执行代码。 8. 额外细节: - 2024年8月7日,ZDI提交了报告给第三方漏洞赏金计划。 - 2024年8月7日,漏洞赏金计划拒绝了报告,因为它超出了他们的范围。 - 2024年8月19日,供应商建议通过另一个漏洞赏金平台提交报告。 - 2024年8月20日,ZDI将报告提交给了推荐的平台。 - 2024年10月14日,供应商拒绝了漏洞。 - 2024年11月6日,ZDI通知供应商计划发布0日漏洞公告。 9. 缓解措施:由于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 10. 披露时间线: - 2024年8月7日 - 漏洞报告给供应商。 - 2024年11月19日 - 协调公共漏洞公告发布。 - 2024年11月19日 - 公告更新。 11. 信用:The_Kernel_Panic