PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

漏洞类型 OS命令注入 发现时间 2024-01-03 漏洞等级 严重
MPS编号 MPS-byhf-uv17 CVE编号 CVE-2023-52310 漏洞影响广度 一般

漏洞危害

OSCS 描述
PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。
PaddlePaddle 2.6.0之前版本中由于 get_online_pass_interval 函数未对用户可控的 days 和 hours 参数进行过滤,当调用 get_online_pass_interval 函数对每个 Pass 生成数据分片列表时,攻击者可构造包含恶意的 days 或 hours 参数实现任意命令执行。
参考链接:https://www.oscs1024.com/hd/MPS-byhf-uv17

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
paddlepaddle [1.8.5, 2.6.0) 升级 将 paddlepaddle 升级至 2.6.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-byhf-uv17

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-byhf-uv17

https://nvd.nist.gov/vuln/detail/CVE-2023-52310

https://github.com/PaddlePaddle/Paddle/blob/develop/security/advisory/pdsa-2023-019.md

https://github.com/PaddlePaddle/Paddle/commit/1aae481dfd7d2055c801563e254f1484b974b68e

(0)
上一篇 2024年1月4日 下午12:00
下一篇 2024年1月5日 下午12:00

相关推荐

  • Apache Superset 授权检查错误漏洞 (CVE-2023-49734)

    漏洞类型 授权检查错误 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-i3j1-274p CVE编号 CVE-2023-49734 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个数据可视化和数据探索平台。 由于update_charts_owners方法的逻辑错误,拥有 Gamma 权限的用户可以创建…

    2023年12月21日
    0
  • HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

    漏洞类型 内存泄漏 发现时间 2023-11-10 漏洞等级 中危 MPS编号 MPS-5zl0-enty CVE编号 CVE-2023-5954 漏洞影响广度 广 漏洞危害 OSCS 描述 HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具 在受影响版本中,触发策略检查的 HashiCorp Vault 和 Vault Ente…

    2023年11月10日
    0
  • MyBatis Plus<=3.5.6 存在SQL注入漏洞 (CVE-2024-35548)

    漏洞类型 SQL注入 发现时间 2024-05-29 漏洞等级 高危 MPS编号 MPS-mg7u-bw9p CVE编号 CVE-2024-35548 漏洞影响广度 漏洞危害 OSCS 描述 MyBatis Plus 是 MyBatis 的增强工具,用于简化数据库开发,提高开发效率。 受影响版本中,由于 UpdateWrapper 类未对用户可控的参数进行过…

    漏洞 2024年5月30日
    0
  • Gofiber 存在CORS凭证泄露漏洞 (CVE-2024-25124)

    漏洞类型 过度许可的跨域白名单 发现时间 2024-02-22 漏洞等级 严重 MPS编号 MPS-qoe4-atu2 CVE编号 CVE-2024-25124 漏洞影响广度 广 漏洞危害 OSCS 描述 Gofiber 是一个基于Go语言的轻量级web框架。 受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Contr…

    2024年2月22日
    0
  • Kubernetes Windows节点kubernetes-csi-proxy提权漏洞 (CVE-2023-3893)

    漏洞类型 OS命令注入 发现时间 2023-08-24 漏洞等级 高危 MPS编号 MPS-t6rg-974f CVE编号 CVE-2023-3893 漏洞影响广度 小 漏洞危害 OSCS 描述 Kubernetes是开源的容器管理平台,kubernetes-csi-proxy是用于Windows中的CSI(容器存储接口)代理套件。在受影响版本中,由于程序将…

    2023年8月25日
    0