PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

漏洞类型 OS命令注入 发现时间 2024-01-03 漏洞等级 严重
MPS编号 MPS-byhf-uv17 CVE编号 CVE-2023-52310 漏洞影响广度 一般

漏洞危害

OSCS 描述
PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。
PaddlePaddle 2.6.0之前版本中由于 get_online_pass_interval 函数未对用户可控的 days 和 hours 参数进行过滤,当调用 get_online_pass_interval 函数对每个 Pass 生成数据分片列表时,攻击者可构造包含恶意的 days 或 hours 参数实现任意命令执行。
参考链接:https://www.oscs1024.com/hd/MPS-byhf-uv17

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
paddlepaddle [1.8.5, 2.6.0) 升级 将 paddlepaddle 升级至 2.6.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-byhf-uv17

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-byhf-uv17

https://nvd.nist.gov/vuln/detail/CVE-2023-52310

https://github.com/PaddlePaddle/Paddle/blob/develop/security/advisory/pdsa-2023-019.md

https://github.com/PaddlePaddle/Paddle/commit/1aae481dfd7d2055c801563e254f1484b974b68e

(0)
上一篇 2024年1月4日 下午12:00
下一篇 2024年1月5日 下午12:00

相关推荐

  • Ingress-nginx permanent-redirect 代码注入漏洞 (CVE-2023-5044)

    漏洞类型 输入验证不恰当 发现时间 2023-10-26 漏洞等级 高危 MPS编号 MPS-x92s-3wj5 CVE编号 CVE-2023-5044 漏洞影响广度 一般 漏洞危害 OSCS 描述 Ingress-nginx是一个用于Kubernetes的Ingress控制器,使用NGINX作为反向代理和负载均衡器。当对NGINX原语进行注入时,能成功绕过…

    2023年10月26日
    0
  • XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

    漏洞类型 XSS 发现时间 2023-11-15 漏洞等级 中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。 由于在查询 /xxl-job…

    2023年11月16日
    0
  • Apache NiFi 连接 URL 验证绕过漏洞 (CVE-2023-40037)

    漏洞类型 不完整的黑名单 发现时间 2023-08-19 漏洞等级 中危 MPS编号 MPS-0378-t16x CVE编号 CVE-2023-40037 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具。在受影响版本中,由于多个Processors和Controller Services在配置JDBC和…

    2023年8月20日
    0
  • XXL-RPC 任意代码执行操作 (CVE-2023-45146)

    漏洞类型 反序列化 发现时间 2023-10-18 漏洞等级 高危 MPS编号 MPS-lv03-dtjx CVE编号 CVE-2023-45146 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-RPC是一个基于Netty和Hessian的分布式远程调用框架。Hessian是在Java应用程序中进行对象序列化和反序列化的二进制序列化协议。 XXL-P…

    2023年10月19日
    0
  • ansible 存在路径遍历漏洞 (CVE-2023-5115)

    漏洞类型 路径遍历 发现时间 2024-01-02 漏洞等级 中危 MPS编号 MPS-1rb9-vjfx CVE编号 CVE-2023-5115 漏洞影响广度 广 漏洞危害 OSCS 描述 ansible 是一款开源的 IT 自动化工具,可用于跨平台进行应用程序部署、工作站和服务器配置等。 ansible 受影响版本中,当使用“ansible-galaxy…

    2024年1月2日
    0