pytorch-lightning
Corrigé dans
1.6.0
1.6.0
La vulnérabilité CVE-2022-0845 représente une injection de code critique dans la bibliothèque pytorch-lightning, affectant les versions inférieures ou égales à 1.5.10.post0. Cette faille permet à un attaquant d'exécuter du code arbitraire sur le système, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des données. La version corrigée, 1.6.0, est désormais disponible pour remédier à ce problème.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette injection de code pour exécuter des commandes système malveillantes, accéder à des données sensibles stockées ou traitées par pytorch-lightning, et potentiellement prendre le contrôle complet du système. Le code injecté pourrait être utilisé pour voler des modèles d'apprentissage automatique, modifier les données d'entraînement, ou même lancer des attaques contre d'autres systèmes connectés. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la sévérité élevée de la vulnérabilité et sa nature critique justifient une attention immédiate.
La vulnérabilité CVE-2022-0845 a été rendue publique le 5 mars 2022. Bien qu'il n'y ait pas de preuves d'exploitation active à ce jour, la sévérité critique de la vulnérabilité et la facilité potentielle d'exploitation justifient une vigilance accrue. Il n'est pas listé sur KEV à ce jour, et le score EPSS n'est pas disponible. Consultez la publication NVD pour plus d'informations.
Organizations and individuals utilizing PyTorch Lightning for machine learning model training and deployment are at risk, particularly those using older versions (≤1.5.10.post0). This includes researchers, data scientists, and DevOps engineers working with PyTorch-based projects. Shared hosting environments where PyTorch Lightning is deployed could also be vulnerable if multiple users share the same environment and one user can inject malicious code.
• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'pytorch-lightning'], capture_output=True, text=True)
if 'Version' in result.stdout and result.stdout.splitlines()[2].startswith('1.5.'):
print('Vulnerable version detected!')• python / server: Review PyTorch Lightning configuration files for any unusual or unexpected code snippets. • generic web: Inspect PyTorch Lightning model deployment pipelines for potential injection points.
disclosure
Statut de l'Exploit
EPSS
0.27% (percentile 51%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour pytorch-lightning vers la version 1.6.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement les fonctionnalités de pytorch-lightning qui pourraient être vulnérables. En l'absence de mise à jour immédiate, une analyse rigoureuse du code source et des dépendances pourrait aider à identifier et à atténuer les risques potentiels. Il n'existe pas de règles WAF ou de signatures Sigma spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des processus et des connexions réseau est recommandée.
Mettez à jour la bibliothèque pytorch-lightning à la version 1.6.0 ou supérieure. Cela corrigera la vulnérabilité d'injection de code. Vous pouvez mettre à jour en utilisant pip : `pip install pytorch-lightning --upgrade`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-0845 is a critical code injection vulnerability affecting PyTorch Lightning versions up to 1.5.10.post0, allowing attackers to execute arbitrary code.
If you are using PyTorch Lightning versions 1.5.10.post0 or earlier, you are vulnerable to this code injection vulnerability.
Upgrade PyTorch Lightning to version 1.6.0 or later to remediate the vulnerability. Review and sanitize any external data used within PyTorch Lightning workflows.
While no confirmed active exploitation campaigns have been publicly reported, the CRITICAL severity warrants immediate attention and mitigation.
Refer to the PyTorch Lightning GitHub repository and related security advisories for the latest information: [https://github.com/pytorch/pytorch-lightning](https://github.com/pytorch/pytorch-lightning)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.