Plataforma
python
Componente
paddlepaddle
Corregido en
2.6.0
La vulnerabilidad CVE-2024-0521 es una inyección de comandos crítica que afecta a PaddlePaddle en versiones anteriores o iguales a 2.5.2. Esta falla permite a un atacante ejecutar comandos arbitrarios en el sistema, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. La vulnerabilidad se debe a la falta de validación adecuada del parámetro 'url' al construir cadenas de comandos. La solución es actualizar a la versión 2.6.0.
Un atacante puede explotar esta vulnerabilidad inyectando comandos maliciosos dentro del parámetro 'url' utilizado por PaddlePaddle. Al no ser sanitizado correctamente, este parámetro se incorpora directamente en la cadena de comandos, permitiendo la ejecución de código arbitrario con los privilegios del proceso de PaddlePaddle. Esto podría resultar en la toma de control completa del sistema, robo de datos sensibles, instalación de malware o el uso del sistema como punto de apoyo para ataques posteriores. La severidad crítica de esta vulnerabilidad se debe a su facilidad de explotación y el potencial impacto devastador en los sistemas afectados.
CVE-2024-0521 fue publicado el 20 de enero de 2024. Actualmente no se conoce la explotación activa de esta vulnerabilidad en entornos reales, pero la falta de validación de entrada es un patrón común en ataques de inyección de comandos. La puntuación CVSS de 9.3 indica un alto riesgo. Se recomienda aplicar la mitigación lo antes posible.
Organizations and individuals using PaddlePaddle for deep learning applications, particularly those deploying it in production environments or integrating it with untrusted data sources, are at risk. Those using older, unpatched versions of PaddlePaddle are especially vulnerable. Shared hosting environments where multiple users share the same server are also at increased risk.
• python / supply-chain:
import subprocess
import os
# Check for PaddlePaddle version
result = subprocess.run(['python', '-c', 'import paddle; print(paddle.__version__)'], capture_output=True, text=True)
version = result.stdout.strip()
if version <= '2.5.2':
print('PaddlePaddle version is vulnerable!')• generic web: Check for unusual command execution patterns in system logs. Look for processes spawned with unexpected arguments containing URL-like strings. • python / server: Monitor Python processes for suspicious network connections or file access patterns.
disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0521 es actualizar PaddlePaddle a la versión 2.6.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a los componentes de PaddlePaddle que utilizan el parámetro 'url' y monitorear los logs en busca de actividad sospechosa. Implementar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear inyecciones de comandos también puede ayudar a mitigar el riesgo. Verifique la actualización ejecutando python -c "import paddle; print(paddle.version)" después de la actualización, confirmando que la versión sea 2.6.0 o superior.
Actualice paddlepaddle/paddle a la última versión disponible. Esto solucionará la vulnerabilidad de inyección de código. Consulte las notas de la versión para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0521 is a critical command injection vulnerability affecting PaddlePaddle versions up to 2.5.2. It allows attackers to execute arbitrary commands by manipulating a URL parameter, potentially leading to remote code execution.
You are affected if you are using PaddlePaddle version 2.5.2 or earlier. Check your PaddlePaddle version and upgrade if necessary.
Upgrade to PaddlePaddle version 2.6.0 or later to resolve this vulnerability. If immediate upgrade is not possible, implement input validation on the URL parameter.
While no widespread exploitation has been confirmed, the nature of command injection vulnerabilities suggests that exploitation is likely. Monitor your systems for suspicious activity.
Refer to the PaddlePaddle security advisory for detailed information and updates: [https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999](https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.