1  info:
 2    name: dask
 3    cve: CVE-2024-10096
 4    summary: Dask 因 pickle 序列化而存在命令注入漏洞。
 5    details: |
 6      Dask 版本 <=2024.8.2 的 Dask 分布式服务器中存在一个漏洞，其中使用 pickle 序列化允许攻击者制作恶意对象。这些对象可以在客户端序列化并发送到服务器进行反序列化，从而导致远程命令执行，并可能授予对 Dask 服务器的完全控制。
 7    cvss: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
 8    severity: CRITICAL
 9    security_advise: |
10      1. 此安全建议已被撤回，因为它描述的是预期功能。
11      2. 审查 Dask 关于 pickle 序列化的安全限制。
12      3. 实施安全的序列化实践并限制不可信输入。
13  rule: version > "0" && version <= "2024.8.2"
14  references:
15    - https://nvd.nist.gov/vuln/detail/CVE-2024-10096
16    - https://github.com/dask/dask
17    - https://huntr.com/bounties/a4be847b-a52d-42cc-9e78-3299e2d30ab2