| 漏洞类型 | 代码注入 | 发现时间 | 2024-01-21 | 漏洞等级 | 严重 |
| MPS编号 | MPS-g8j9-m4lq | CVE编号 | CVE-2024-0521 | 漏洞影响广度 | 一般 |
漏洞危害
| OSCS 描述 |
| PaddlePaddle(飞桨)是百度研发的深度学习平台,提供了_wget_download函数通过wget进行文件下载。 PaddlePaddle 2.6.0之前版本中,_wget_download函数由于拼接命令参数,导致存在命令注入漏洞,攻击者可能通过控制传入的下载 URL 执行任意恶意命令。 参考链接:https://www.oscs1024.com/hd/MPS-g8j9-m4lq |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| paddlepaddle [2.0.0, 2.6.0) | 升级 | 将 paddlepaddle 升级至 2.6.0 及以上版本 |
| paddlepaddle-gpu [2.0.0, 2.6.0) | 升级 | 将 paddlepaddle-gpu 升级至 2.6.0 及以上版本 |
| github.com/PaddlePaddle/Paddle [2.0.0, 2.6.0) | 升级 | 将 github.com/PaddlePaddle/Paddle 升级至 2.6.0 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-g8j9-m4lq | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-g8j9-m4lq
https://nvd.nist.gov/vuln/detail/CVE-2024-0521
https://huntr.com/bounties/a569c64b-1e2b-4bed-a19f-47fd5a3da453
https://github.com/PaddlePaddle/Paddle/pull/59957/commits/d5550d3f2f5bab48c783b4986ba1cd8e061ce542
