में ठीक किया गया
1.6.0
1.6.0
CVE-2022-0845 एक गंभीर कोड इंजेक्शन भेद्यता है जो pytorch-lightning रिपॉजिटरी में पाई गई है। यह भेद्यता हमलावरों को मनमाना कोड निष्पादित करने की अनुमति दे सकती है, जिससे सिस्टम पर नियंत्रण खो सकता है। यह भेद्यता pytorch-lightning के 1.5.10.post0 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए 1.6.0 में अपग्रेड करें।
यह भेद्यता हमलावरों को मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। हमलावर संवेदनशील डेटा चोरी कर सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। चूंकि pytorch-lightning मशीन लर्निंग अनुप्रयोगों में व्यापक रूप से उपयोग किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह GitHub रिपॉजिटरी में पाई गई है, जिसका अर्थ है कि यह आपूर्ति श्रृंखला हमलों के लिए असुरक्षित है।
CVE-2022-0845 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी गंभीरता और GitHub रिपॉजिटरी में इसकी खोज के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों को इस भेद्यता का फायदा उठाने की अनुमति देते हैं। CISA ने इस भेद्यता को अपनी ज्ञात भेद्यता सूची (KEV) में शामिल किया है, जो इसके महत्व को दर्शाता है।
Organizations and individuals utilizing PyTorch Lightning for machine learning model training and deployment are at risk, particularly those using older versions (≤1.5.10.post0). This includes researchers, data scientists, and DevOps engineers working with PyTorch-based projects. Shared hosting environments where PyTorch Lightning is deployed could also be vulnerable if multiple users share the same environment and one user can inject malicious code.
• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'pytorch-lightning'], capture_output=True, text=True)
if 'Version' in result.stdout and result.stdout.splitlines()[2].startswith('1.5.'):
print('Vulnerable version detected!')• python / server: Review PyTorch Lightning configuration files for any unusual or unexpected code snippets. • generic web: Inspect PyTorch Lightning model deployment pipelines for potential injection points.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.27% (51% शतमक)
CVSS वेक्टर
CVE-2022-0845 को कम करने का सबसे प्रभावी तरीका pytorch-lightning को 1.6.0 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप इनपुट को मान्य करने और सैनिटाइज करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कर सकते हैं। इसके अतिरिक्त, आप अपने सिस्टम को अनधिकृत पहुंच से बचाने के लिए सख्त एक्सेस नियंत्रण लागू कर सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम की जांच करें।
pytorch-lightning लाइब्रेरी को संस्करण 1.6.0 या उससे ऊपर के संस्करण में अपडेट करें। यह कोड इंजेक्शन (Code Injection) के भेद्यता को ठीक कर देगा। आप pip का उपयोग करके अपडेट कर सकते हैं: `pip install pytorch-lightning --upgrade`।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-0845 एक गंभीर भेद्यता है जो pytorch-lightning के पुराने संस्करणों में हमलावरों को मनमाना कोड निष्पादित करने की अनुमति देती है।
यदि आप pytorch-lightning के 1.6.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
pytorch-lightning को 1.6.0 या बाद के संस्करण में अपग्रेड करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता के कारण शोषण की संभावना है।
pytorch-lightning की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।