Plataforma
python
Componente
lightning-ai/pytorch-lightning
Corregido en
2.3.3
La vulnerabilidad CVE-2024-5980 es una falla de acceso arbitrario de archivos presente en pytorch-lightning, específicamente en la API /v1/runs. Esta falla permite a atacantes explotar vulnerabilidades de path traversal al extraer archivos tar.gz maliciosos, lo que puede resultar en la escritura de archivos arbitrarios en el sistema de archivos del usuario. La vulnerabilidad afecta a versiones de pytorch-lightning menores o iguales a 2.3.3. Se recomienda actualizar a la versión 2.3.3 para mitigar el riesgo.
Un atacante puede aprovechar esta vulnerabilidad para desplegar plugins tar.gz maliciosos a través de la API /v1/runs cuando LightningApp se ejecuta con el plugin_server. Estos plugins pueden contener archivos con path traversal, permitiendo al atacante escribir archivos en cualquier directorio del sistema de archivos local de la víctima. Esto podría llevar a la ejecución remota de código, la modificación de archivos de configuración críticos, o la exfiltración de datos sensibles. El impacto es severo, ya que un atacante podría comprometer completamente el sistema afectado. La capacidad de escribir archivos arbitrariamente abre la puerta a una amplia gama de ataques, incluyendo la instalación de malware y la toma de control del sistema.
La vulnerabilidad fue publicada el 27 de junio de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la falla de path traversal la convierte en un objetivo atractivo para los atacantes. Es probable que se publiquen pruebas de concepto (PoC) en un futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations and individuals using pytorch-lightning for machine learning projects, particularly those deploying LightningApps with the plugin_server enabled, are at risk. This includes researchers, data scientists, and developers working with deep learning models. Shared hosting environments where multiple users share a pytorch-lightning instance are also at increased risk.
• python / pytorch-lightning: Monitor for suspicious tar.gz file uploads to the /v1/runs API endpoint.
import requests
url = "YOUR_PYTORCH_LIGHTNING_ENDPOINT/v1/runs"
files = {'plugin': open('malicious_plugin.tar.gz', 'rb')}
response = requests.post(url, files=files)
print(response.status_code)• python / pytorch-lightning: Check for unexpected file modifications in directories accessible by the LightningApp process using file integrity monitoring tools.
• generic web: Monitor access logs for requests to the /v1/runs API endpoint with unusual or potentially malicious file names.
disclosure
patch
Estado del Exploit
EPSS
10.73% (93% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar pytorch-lightning a la versión 2.3.3 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el directorio donde se extraen los archivos tar.gz. Esto puede incluir limitar los permisos de escritura a un usuario específico o utilizar una lista blanca de archivos permitidos. Además, se debe revisar y fortalecer la validación de la entrada del usuario en la API /v1/runs para prevenir la inyección de path traversal. Después de la actualización, confirme la corrección revisando los logs del sistema en busca de intentos de acceso no autorizados.
Actualice la biblioteca pytorch-lightning a la versión 2.3.3 o superior. Esto corrige la vulnerabilidad de recorrido de ruta en el endpoint de la API /v1/runs. La actualización evitará que los atacantes escriban archivos arbitrarios en su sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5980 is a CRITICAL vulnerability in pytorch-lightning versions ≤2.3.3 allowing attackers to exploit path traversal in the /v1/runs API, potentially leading to remote code execution.
You are affected if you are using pytorch-lightning versions 2.2.4 or earlier and have the plugin_server enabled.
Upgrade to pytorch-lightning version 2.3.3 or later. If immediate upgrade is not possible, disable the plugin_server.
While no widespread exploitation has been confirmed, the vulnerability has been added to the CISA KEV catalog, indicating a potential risk.
Refer to the pytorch-lightning security advisory: [https://lightning.ai/blog/security-update-cve-2024-5980](https://lightning.ai/blog/security-update-cve-2024-5980)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.