Especialistas en ciberseguridad reportan la detección de algunas serias vulnerabilidades en NumPy, una biblioteca para el lenguaje de programación Python con soporte para crear vectores y matrices multidimensionales, junto con una gran colección de funciones matemáticas de alto nivel. Según el reporte, la explotación exitosa de las fallas reportadas permitiría a los actores de amenazas desplegar peligrosas tareas de hacking.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-41495: La vulnerabilidad existe debido a un error de desreferencia de puntero NULL en numpy.sort en NumPy permitiría a los actores de amenazas remotos realizar un ataque de denegación de servicio (DoS).
Este es un error de baja severidad y recibió un puntaje CVSS de 3.4/10.
CVE-2021-34141: La vulnerabilidad existe debido a una comparación de cadenas incompleta en el componente numpy.core en NumPy permitiría a los atacantes remotos pasar objetos de cadena específicos a la biblioteca y realizar un ataque DoS.
La falla recibió un puntaje CVSS de 3.2/10.
CVE-2021-41496: Un error de límite dentro de la función array_from_pyobj() en fortranobject.c permitiría a los actores de amenazas remotos pasar una matriz con valores negativos a la aplicación, conduciendo a una condición DoS.
La vulnerabilidad recibió una puntuación CVSS de 2.7/10.
Según el reporte, las fallas residen en todas las versiones de NumPy entre 1.0 y 1.21.5.
Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han identificado intentos de explotación relacionados con estos reportes. Aún así, se recomienda a los usuarios de implementaciones afectadas aplicar los parches disponibles a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.