PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

漏洞类型 OS命令注入 发现时间 2024-01-03 漏洞等级 严重
MPS编号 MPS-byhf-uv17 CVE编号 CVE-2023-52310 漏洞影响广度 一般

漏洞危害

OSCS 描述
PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。
PaddlePaddle 2.6.0之前版本中由于 get_online_pass_interval 函数未对用户可控的 days 和 hours 参数进行过滤,当调用 get_online_pass_interval 函数对每个 Pass 生成数据分片列表时,攻击者可构造包含恶意的 days 或 hours 参数实现任意命令执行。
参考链接:https://www.oscs1024.com/hd/MPS-byhf-uv17

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
paddlepaddle [1.8.5, 2.6.0) 升级 将 paddlepaddle 升级至 2.6.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-byhf-uv17

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-byhf-uv17

https://nvd.nist.gov/vuln/detail/CVE-2023-52310

https://github.com/PaddlePaddle/Paddle/blob/develop/security/advisory/pdsa-2023-019.md

https://github.com/PaddlePaddle/Paddle/commit/1aae481dfd7d2055c801563e254f1484b974b68e

(0)
上一篇 2024年1月4日 下午12:00
下一篇 2024年1月5日 下午12:00

相关推荐

  • PaddlePaddle < 2.6.0 存在命令注入漏洞 (CVE-2024-0521)

    漏洞类型 代码注入 发现时间 2024-01-21 漏洞等级 严重 MPS编号 MPS-g8j9-m4lq CVE编号 CVE-2024-0521 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台,提供了_wget_download函数通过wget进行文件下载。 PaddlePaddle 2.6.0之前版…

    2024年1月24日
    0
  • minizip-ng<4.0.3 存在堆缓冲区溢出漏洞 (CVE-2023-48106)

    漏洞类型 堆缓冲区溢出 发现时间 2023-11-23 漏洞等级 高危 MPS编号 MPS-7wpn-d9ve CVE编号 CVE-2023-48106 漏洞影响广度 小 漏洞危害 OSCS 描述 minizip-ng 是一个开源的压缩库,用于创建和解压ZIP格式文件。 minizip-ng 4.0.3之前版本中的 mz_os.c#mz_path_resol…

    2023年11月23日
    0
  • Apache Airflow Sqoop远程代码执行漏洞 (CVE-2023-27604)

    漏洞类型 输入验证不恰当 发现时间 2023-08-28 漏洞等级 中危 MPS编号 MPS-2023-6961 CVE编号 CVE-2023-27604 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow 是一个以编程方式管理 workflow 的平台,Sqoop 模块用于在 Hadoop 和结构化数据存储(例如关系数据库)之间高效传…

    2023年9月4日
    0
  • libcurl Socks5 堆缓冲区溢出漏洞 (CVE-2023-38545)

    漏洞类型 堆缓冲区溢出 发现时间 2023-10-11 漏洞等级 高危 MPS编号 MPS-cpg0-9qk3 CVE编号 CVE-2023-38545 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是用于在各种网络协议之间传输数据的命令行工具,libcurl 用于提供处理网络通信和数据传输的Api接口。curl 默认下载缓冲区为 102400 字节…

    2023年10月12日
    0
  • WordPress插件 WP Sessions Time Monitoring Full Automatic<1.0.9 Sql注入漏洞 (CVE-2023-5203)

    漏洞类型 SQL注入 发现时间 2023-12-29 漏洞等级 高危 MPS编号 MPS-s92y-4j6l CVE编号 CVE-2023-5203 漏洞影响广度 极小 漏洞危害 OSCS 描述 WP Sessions Time Monitoring Full Automatic 是 WordPress 中用于统计页面和用户活动时间的插件。 WP Sessi…

    2023年12月29日
    0