Corregido en
1.6.0
1.6.0
CVE-2022-0845 describe una vulnerabilidad de inyección de código en la biblioteca pytorch-lightning, identificada en versiones anteriores a 1.6.0. Esta falla permite a un atacante ejecutar código arbitrario en el sistema, comprometiendo potencialmente la confidencialidad, integridad y disponibilidad de los datos. La vulnerabilidad afecta a las versiones de pytorch-lightning menores o iguales a 1.5.10.post0, y se recomienda actualizar a la versión 1.6.0 para solucionar el problema.
La inyección de código en pytorch-lightning representa un riesgo significativo, ya que un atacante puede aprovecharla para ejecutar comandos maliciosos en el servidor donde se ejecuta la aplicación. Esto podría resultar en el robo de información sensible, la modificación de datos, la instalación de malware o incluso el control total del sistema. El atacante podría inyectar código a través de la manipulación de entradas o parámetros en la aplicación, lo que permitiría la ejecución de código arbitrario con los privilegios del proceso pytorch-lightning. La severidad crítica de esta vulnerabilidad (CVSS 9.8) indica un alto potencial de explotación y un impacto devastador en caso de éxito.
La vulnerabilidad CVE-2022-0845 fue publicada el 5 de marzo de 2022. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un alto riesgo potencial. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations and individuals utilizing PyTorch Lightning for machine learning model training and deployment are at risk, particularly those using older versions (≤1.5.10.post0). This includes researchers, data scientists, and DevOps engineers working with PyTorch-based projects. Shared hosting environments where PyTorch Lightning is deployed could also be vulnerable if multiple users share the same environment and one user can inject malicious code.
• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'pytorch-lightning'], capture_output=True, text=True)
if 'Version' in result.stdout and result.stdout.splitlines()[2].startswith('1.5.'):
print('Vulnerable version detected!')• python / server: Review PyTorch Lightning configuration files for any unusual or unexpected code snippets. • generic web: Inspect PyTorch Lightning model deployment pipelines for potential injection points.
disclosure
Estado del Exploit
EPSS
0.27% (51% percentil)
Vector CVSS
La mitigación principal para CVE-2022-0845 es actualizar pytorch-lightning a la versión 1.6.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible debido a problemas de compatibilidad, se recomienda revisar cuidadosamente las entradas y parámetros de la aplicación para identificar y eliminar cualquier posibilidad de inyección de código. Implementar validación y sanitización de entradas es crucial. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Después de la actualización, verifique la integridad de la instalación de pytorch-lightning y ejecute pruebas de seguridad para confirmar que la vulnerabilidad ha sido resuelta.
Actualice la biblioteca pytorch-lightning a la versión 1.6.0 o superior. Esto solucionará la vulnerabilidad de inyección de código. Puede actualizar usando pip: `pip install pytorch-lightning --upgrade`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-0845 is a critical code injection vulnerability affecting PyTorch Lightning versions up to 1.5.10.post0, allowing attackers to execute arbitrary code.
If you are using PyTorch Lightning versions 1.5.10.post0 or earlier, you are vulnerable to this code injection vulnerability.
Upgrade PyTorch Lightning to version 1.6.0 or later to remediate the vulnerability. Review and sanitize any external data used within PyTorch Lightning workflows.
While no confirmed active exploitation campaigns have been publicly reported, the CRITICAL severity warrants immediate attention and mitigation.
Refer to the PyTorch Lightning GitHub repository and related security advisories for the latest information: [https://github.com/pytorch/pytorch-lightning](https://github.com/pytorch/pytorch-lightning)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.