PaddlePaddle < 2.6.0 存在命令注入漏洞 (CVE-2024-0521)

漏洞类型 代码注入 发现时间 2024-01-21 漏洞等级 严重
MPS编号 MPS-g8j9-m4lq CVE编号 CVE-2024-0521 漏洞影响广度 一般

漏洞危害

OSCS 描述
PaddlePaddle(飞桨)是百度研发的深度学习平台,提供了_wget_download函数通过wget进行文件下载。
PaddlePaddle 2.6.0之前版本中,_wget_download函数由于拼接命令参数,导致存在命令注入漏洞,攻击者可能通过控制传入的下载 URL 执行任意恶意命令。
参考链接:https://www.oscs1024.com/hd/MPS-g8j9-m4lq

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
paddlepaddle [2.0.0, 2.6.0) 升级 将 paddlepaddle 升级至 2.6.0 及以上版本
paddlepaddle-gpu [2.0.0, 2.6.0) 升级 将 paddlepaddle-gpu 升级至 2.6.0 及以上版本
github.com/PaddlePaddle/Paddle [2.0.0, 2.6.0) 升级 将 github.com/PaddlePaddle/Paddle 升级至 2.6.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-g8j9-m4lq

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-g8j9-m4lq

https://nvd.nist.gov/vuln/detail/CVE-2024-0521

https://huntr.com/bounties/a569c64b-1e2b-4bed-a19f-47fd5a3da453

https://github.com/PaddlePaddle/Paddle/pull/59957/commits/d5550d3f2f5bab48c783b4986ba1cd8e061ce542

(0)
上一篇 2024年1月24日 下午12:00
下一篇 2024年1月25日 下午4:00

相关推荐

  • XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

    漏洞类型 XSS 发现时间 2023-11-15 漏洞等级 中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。 由于在查询 /xxl-job…

    2023年11月16日
    0
  • Apache Dubbo 3.1.5 反序列化漏洞 (CVE-2023-46279)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 严重 MPS编号 MPS-k3ml-xyci CVE编号 CVE-2023-46279 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 在3.1.5版本中,由于新增的SerializeSecurityManager类存在缺陷,…

    2023年12月18日
    0
  • Apache Derby LDAP 注入漏洞 (CVE-2022-46337)

    漏洞类型 LDAP注入 发现时间 2023-11-20 漏洞等级 中危 MPS编号 MPS-2022-65764 CVE编号 CVE-2022-46337 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Derby 是开源的关系型数据库管理系统。 受影响版本中,由于 LDAPAuthenticationSchemeImpl#getDNFromUI…

    2023年11月21日
    0
  • Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-11-08 漏洞等级 中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台,它提供了许多功能,包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

    2023年11月8日
    0
  • Gofiber 存在CORS凭证泄露漏洞 (CVE-2024-25124)

    漏洞类型 过度许可的跨域白名单 发现时间 2024-02-22 漏洞等级 严重 MPS编号 MPS-qoe4-atu2 CVE编号 CVE-2024-25124 漏洞影响广度 广 漏洞危害 OSCS 描述 Gofiber 是一个基于Go语言的轻量级web框架。 受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Contr…

    2024年2月22日
    0