PaddlePaddle < 2.6.0 存在命令注入漏洞 (CVE-2024-0521)

漏洞类型 代码注入 发现时间 2024-01-21 漏洞等级 严重
MPS编号 MPS-g8j9-m4lq CVE编号 CVE-2024-0521 漏洞影响广度 一般

漏洞危害

OSCS 描述
PaddlePaddle(飞桨)是百度研发的深度学习平台,提供了_wget_download函数通过wget进行文件下载。
PaddlePaddle 2.6.0之前版本中,_wget_download函数由于拼接命令参数,导致存在命令注入漏洞,攻击者可能通过控制传入的下载 URL 执行任意恶意命令。
参考链接:https://www.oscs1024.com/hd/MPS-g8j9-m4lq

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
paddlepaddle [2.0.0, 2.6.0) 升级 将 paddlepaddle 升级至 2.6.0 及以上版本
paddlepaddle-gpu [2.0.0, 2.6.0) 升级 将 paddlepaddle-gpu 升级至 2.6.0 及以上版本
github.com/PaddlePaddle/Paddle [2.0.0, 2.6.0) 升级 将 github.com/PaddlePaddle/Paddle 升级至 2.6.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-g8j9-m4lq

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-g8j9-m4lq

https://nvd.nist.gov/vuln/detail/CVE-2024-0521

https://huntr.com/bounties/a569c64b-1e2b-4bed-a19f-47fd5a3da453

https://github.com/PaddlePaddle/Paddle/pull/59957/commits/d5550d3f2f5bab48c783b4986ba1cd8e061ce542

(0)
上一篇 2024年1月24日 下午12:00
下一篇 2024年1月25日 下午4:00

相关推荐

  • Apache UIMA Java SDK <3.5.0 反序列化漏洞 (CVE-2023-39913)

    漏洞类型 反序列化 发现时间 2023-11-08 漏洞等级 高危 MPS编号 MPS-8r5d-9m7h CVE编号 CVE-2023-39913 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache UIMA 是一个用于分析非结构化内容(比如文本、视频和音频)的组件架构和软件框架实现。 由于Apache UIMA Java SDK在反序列化Java对…

    2023年11月9日
    0
  • Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

    漏洞类型 SQL注入 发现时间 2023-11-27 漏洞等级 高危 MPS编号 MPS-iztk-bu2h CVE编号 CVE-2023-40610 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。 受影响版本中,默认情况下示例数据库表是在 Superset …

    2023年11月28日
    0
  • Windows Server NPS 远程代码执行漏洞 (MPS-56ge-38z4)

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-56ge-38z4 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows Server 中的 Network Policy Server (NPS) 是一种网络访问控制器,用于限制用户和设备对网络资源的访问权限,其 IAS Extensi…

    2023年8月22日
    0
  • follow-redirects<1.15.4 主机名验证不当漏洞 (CVE-2023-26159)

    漏洞类型 输入验证不恰当 发现时间 2024-01-02 漏洞等级 高危 MPS编号 MPS-2023-5153 CVE编号 CVE-2023-26159 漏洞影响广度 极小 漏洞危害 OSCS 描述 follow-redirects 是用于自动处理 HTTP 和 HTTPS 请求重定向的NPM组件包。 follow-redirects 1.15.4之前版本…

    2024年1月3日
    0
  • OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

    漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危 MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般 漏洞危害 OSCS 描述 OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使…

    2024年1月16日
    0