Transformers RagRetriever 反序列化漏洞 (CVE-2023-6730)

漏洞类型 反序列化 发现时间 2023-12-19 漏洞等级 严重
MPS编号 MPS-qedl-r8y7 CVE编号 CVE-2023-6730 漏洞影响广度 广

漏洞危害

OSCS 描述
Transformers是一个自然语言处理(NLP)库,它提供了大量预训练的深度学习模型和用于处理文本数据的工具。
在RagRetriever模型中,存在绕过Hugging Face的pickle扫描检查,攻击者可以诱导受害用户加载恶意的pickle文件,从而进行远程代码执行和蠕虫攻击。攻击者将恶意的picklew文件保存在一个后端仓库中,并修改一个前端仓库的config.json文件中的”index_name”和”index_path”字段,使其隐式重定向到后端仓库中恶意的pickle文件,从而绕过HF的安全机制。当受害者使用RagRetriever.from_pretrained()函数下载前端仓库时,会导致远程代码执行和蠕虫攻击。
参考链接:https://www.oscs1024.com/hd/MPS-qedl-r8y7

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
transformers (-∞, 4.36) 升级 将组件 transformers 升级至 4.36 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-qedl-r8y7

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qedl-r8y7

https://nvd.nist.gov/vuln/detail/CVE-2023-6730

https://github.com/huggingface/transformers/commit/1d63b0ec361e7a38f1339385e8a5a855085532ce

https://huntr.com/bounties/423611ee-7a2a-442a-babb-3ed2f8385c16

(0)
上一篇 2023年12月21日 下午12:00
下一篇 2023年12月21日 下午12:00

相关推荐

  • Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669)

    漏洞类型 越界读取 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-e80z-3t4y CVE编号 CVE-2024-1669 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是谷歌公司开发的一款Web浏览器,其中使用的Blink作为其渲染引擎。 在受影响的版本中,Blink引擎的Web Neural Networ…

    2024年2月22日
    0
  • Apache InLong updateAuditSource方法命令注入漏洞 (CVE-2023-51784)

    漏洞类型 代码注入 发现时间 2024-01-03 漏洞等级 高危 MPS编号 MPS-81gu-tekl CVE编号 CVE-2023-51784 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计…

    2024年1月4日
    0
  • Apache Airflow 渲染模版配置泄露漏洞 (CVE-2023-40712)

    漏洞类型 通过发送数据的信息暴露 发现时间 2023-09-12 漏洞等级 中危 MPS编号 MPS-dva6-4mre CVE编号 CVE-2023-40712 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。 在受影响版本中,当DAG任务运行时,由于日期解析存在缺陷,…

    2023年9月13日
    0
  • Apache NiFi H2驱动存在代码注入漏洞 (CVE-2023-34468)

    漏洞类型 代码注入 发现时间 2023/6/13 漏洞等级 高危 MPS编号 MPS-v4am-pz0t CVE编号 CVE-2023-34468 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具,DBCPConnectionPool 和 HikariCPConnectionPool 是两个控制器服务,…

    2023年8月30日
    0
  • Apache Airflow Sqoop远程代码执行漏洞 (CVE-2023-27604)

    漏洞类型 输入验证不恰当 发现时间 2023-08-28 漏洞等级 中危 MPS编号 MPS-2023-6961 CVE编号 CVE-2023-27604 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow 是一个以编程方式管理 workflow 的平台,Sqoop 模块用于在 Hadoop 和结构化数据存储(例如关系数据库)之间高效传…

    2023年9月4日
    0