मुफ्त स्कैन करें
CRITICALCVE-2024-0521CVSS 9.3

Code Injection in paddlepaddle

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

python

घटक

paddlepaddle

में ठीक किया गया

2.6.0

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2024-0521 describes a critical command injection vulnerability discovered in PaddlePaddle, a deep learning framework. This flaw allows attackers to execute arbitrary commands on a system if they can control the URL parameter used in certain operations. The vulnerability affects versions of PaddlePaddle up to 2.5.2, and a fix is available in version 2.6.0.

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The impact of this vulnerability is severe. An attacker who can inject commands via the URL parameter can gain complete control over the affected system. This could involve stealing sensitive data, installing malware, or using the system as a launchpad for further attacks. The ability to execute arbitrary commands significantly expands the attack surface and increases the potential for widespread damage. The lack of proper input validation makes this a particularly dangerous vulnerability, as it can be exploited with minimal effort.

शोषण संदर्भअनुवाद हो रहा है…

CVE-2024-0521 was publicly disclosed on January 20, 2024. The vulnerability's severity is high due to the ease of exploitation and potential for significant impact. No public proof-of-concept exploits have been widely reported at the time of writing, but the nature of command injection vulnerabilities makes it likely that exploits will emerge. The vulnerability is not currently listed on the CISA KEV catalog.

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations and individuals using PaddlePaddle for deep learning applications, particularly those deploying it in production environments or integrating it with untrusted data sources, are at risk. Those using older, unpatched versions of PaddlePaddle are especially vulnerable. Shared hosting environments where multiple users share the same server are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• python / supply-chain:

import subprocess
import os
# Check for PaddlePaddle version
result = subprocess.run(['python', '-c', 'import paddle; print(paddle.__version__)'], capture_output=True, text=True)
version = result.stdout.strip()
if version <= '2.5.2':
    print('PaddlePaddle version is vulnerable!')

• generic web: Check for unusual command execution patterns in system logs. Look for processes spawned with unexpected arguments containing URL-like strings. • python / server: Monitor Python processes for suspicious network connections or file access patterns.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रनिम्न

EPSS

0.10% (27% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H9.3CRITICALAttack VectorLocalहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
स्थानीय — हमलावर को सिस्टम पर स्थानीय सत्र या शेल की आवश्यकता है।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकpaddlepaddle
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
unspecified – latest
2.6.0

कमजोरी वर्गीकरण (CWE)

CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2024-0521 is to upgrade to PaddlePaddle version 2.6.0 or later, which contains the necessary fix. If upgrading immediately is not possible, consider implementing input validation and sanitization on the URL parameter before it is used in command construction. While not a complete solution, this can reduce the risk. Additionally, restrict network access to the PaddlePaddle deployment to only trusted sources. Monitor system logs for suspicious command execution patterns.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice paddlepaddle/paddle a la última versión disponible. Esto solucionará la vulnerabilidad de inyección de código. Consulte las notas de la versión para obtener más detalles sobre la corrección.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2024-0521 — Command Injection in PaddlePaddle?

CVE-2024-0521 is a critical command injection vulnerability affecting PaddlePaddle versions up to 2.5.2. It allows attackers to execute arbitrary commands by manipulating a URL parameter, potentially leading to remote code execution.

Am I affected by CVE-2024-0521 in PaddlePaddle?

You are affected if you are using PaddlePaddle version 2.5.2 or earlier. Check your PaddlePaddle version and upgrade if necessary.

How do I fix CVE-2024-0521 in PaddlePaddle?

Upgrade to PaddlePaddle version 2.6.0 or later to resolve this vulnerability. If immediate upgrade is not possible, implement input validation on the URL parameter.

Is CVE-2024-0521 being actively exploited?

While no widespread exploitation has been confirmed, the nature of command injection vulnerabilities suggests that exploitation is likely. Monitor your systems for suspicious activity.

Where can I find the official PaddlePaddle advisory for CVE-2024-0521?

Refer to the PaddlePaddle security advisory for detailed information and updates: [https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999](https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें