無料スキャン
CRITICALCVE-2024-0818CVSS 9.1

paddlepaddle/paddle 2.6未満におけるパス・トラバーサルによる任意のファイル上書き

プラットフォーム

python

コンポーネント

paddlepaddle/paddle

修正版

2.6

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2024-0818 is a critical Path Traversal vulnerability affecting PaddlePaddle versions prior to 2.6. This flaw allows attackers to overwrite arbitrary files on the system, potentially leading to complete system compromise. The vulnerability was published on March 7, 2024, and a fix is available in version 2.6.

Python

このCVEがあなたのプロジェクトに影響するか確認

requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。

requirements.txt をアップロード対応フォーマット: requirements.txt · Pipfile.lock

影響と攻撃シナリオ翻訳中…

The core of this vulnerability lies in PaddlePaddle's insufficient validation of user-supplied file paths. An attacker can craft malicious input that bypasses these checks, allowing them to specify a path outside the intended directory. This enables the overwriting of critical system files, configuration files, or even executable code. Successful exploitation could result in remote code execution, data corruption, denial of service, or complete system takeover. The impact is particularly severe given PaddlePaddle's use in machine learning and AI applications, where compromised models or data could have far-reaching consequences.

悪用の状況翻訳中…

CVE-2024-0818 is currently not listed on the CISA KEV catalog. Public proof-of-concept exploits are not widely available, but the severity of the vulnerability (CVSS 9.1) suggests a high probability of exploitation if a suitable exploit is developed. The vulnerability's impact on machine learning workflows could make it a target for advanced persistent threat (APT) actors.

リスク対象者翻訳中…

Organizations and individuals utilizing PaddlePaddle for machine learning and AI development are at risk. This includes researchers, data scientists, and developers deploying PaddlePaddle-based applications in production environments. Systems with older, unpatched PaddlePaddle installations are particularly vulnerable.

検出手順翻訳中…

• python / supply-chain:

import os
import subprocess
# Check PaddlePaddle version
result = subprocess.run(['python', '-c', 'import paddle; print(paddle.__version__)'], capture_output=True, text=True)
version = result.stdout.strip()
if version <= '2.5':
    print('PaddlePaddle version is vulnerable!')

• generic web: Check for unusual file modifications in system logs. Monitor PaddlePaddle processes for unexpected file access patterns. • generic web: Examine PaddlePaddle configuration files for any signs of tampering or unauthorized modifications.

攻撃タイムライン

  1. Disclosure

    disclosure

  2. Patch

    patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.34% (57% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H9.1CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントpaddlepaddle/paddle
ベンダーpaddlepaddle
影響範囲修正版
unspecified – latest

弱点分類 (CWE)

CWE-22

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2024-0818 is to immediately upgrade to PaddlePaddle version 2.6 or later. If upgrading is not immediately feasible due to compatibility issues or testing requirements, consider implementing strict input validation on file paths within your application code. While not a complete solution, restricting access to sensitive directories and implementing file integrity monitoring can help limit the potential damage. Consider using a Web Application Firewall (WAF) with path traversal protection rules, though this is less effective than patching the underlying vulnerability. After upgrade, confirm by attempting to trigger the vulnerable functionality and verifying that file access is properly restricted.

修正方法

paddlepaddle/paddleライブラリをバージョン2.6以降にアップデートしてください。これにより、パス・トラバーサルによる任意のファイル上書きの脆弱性が修正されます。pipパッケージマネージャを使用してアップデートできます: `pip install paddlepaddle --upgrade`。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2024-0818 — Path Traversal in PaddlePaddle?

CVE-2024-0818 is a critical Path Traversal vulnerability in PaddlePaddle versions before 2.6, allowing attackers to overwrite arbitrary files.

Am I affected by CVE-2024-0818 in PaddlePaddle?

If you are using PaddlePaddle versions prior to 2.6, you are potentially affected by this vulnerability.

How do I fix CVE-2024-0818 in PaddlePaddle?

Upgrade to PaddlePaddle version 2.6 or later to resolve this vulnerability. Implement input validation as a temporary workaround.

Is CVE-2024-0818 being actively exploited?

While no active exploitation has been confirmed, the high severity score suggests a potential for exploitation if a suitable exploit is developed.

Where can I find the official PaddlePaddle advisory for CVE-2024-0818?

Refer to the PaddlePaddle security advisory for detailed information and updates: [https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999](https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999)

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索