CRITICALCVE-2022-0845CVSS 9.8

CVE-2022-0845

翻訳中…

プラットフォーム

python

コンポーネント

pytorch-lightning

修正版

1.6.0

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-0845は、pytorch-lightningのGitHubリポジトリにおけるコードインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上で任意のコードを実行し、機密情報を盗み出す可能性があります。影響を受けるバージョンはpytorch-lightning 1.5.10.post0以前です。開発者はバージョン1.6.0にアップデートすることを推奨します。

影響と攻撃シナリオ

このコードインジェクション脆弱性は、攻撃者がpytorch-lightningの処理パイプラインに悪意のあるコードを挿入することを可能にします。成功した場合、攻撃者はサーバー上で任意のコマンドを実行し、機密データ（モデルの重み、トレーニングデータ、APIキーなど）にアクセスしたり、システムを完全に制御したりする可能性があります。この脆弱性は、特に機械学習モデルのトレーニングやデプロイメントにpytorch-lightningを使用している環境において、深刻なリスクをもたらします。攻撃者は、この脆弱性を利用して、モデルの挙動を改ざんしたり、悪意のあるコードを注入したりすることも可能です。

悪用の状況

この脆弱性は、公開されており、攻撃者が悪用する可能性があります。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、pytorch-lightningの広範な利用を考えると、攻撃のリスクは高いと考えられます。CISAのKEVリストへの登録状況は不明です。NVD（National Vulnerability Database）は2022年3月5日に公開されています。

リスク対象者翻訳中…

Organizations and individuals utilizing PyTorch Lightning for machine learning model training and deployment are at risk, particularly those using older versions (≤1.5.10.post0). This includes researchers, data scientists, and DevOps engineers working with PyTorch-based projects. Shared hosting environments where PyTorch Lightning is deployed could also be vulnerable if multiple users share the same environment and one user can inject malicious code.

検出手順翻訳中…

• python / supply-chain:

import subprocess
result = subprocess.run(['pip', 'show', 'pytorch-lightning'], capture_output=True, text=True)
if 'Version' in result.stdout and result.stdout.splitlines()[2].startswith('1.5.'): 
    print('Vulnerable version detected!')

• python / server: Review PyTorch Lightning configuration files for any unusual or unexpected code snippets. • generic web: Inspect PyTorch Lightning model deployment pipelines for potential injection points.

攻撃タイムライン

2022-03-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.27% (51% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpytorch-lightning

ベンダーosv

影響範囲修正版

unspecified – 1.6.01.6.0

—1.6.0

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2022-03-03
公開日2022-03-05
更新日2025-10-09
EPSS 更新日2026-04-02

公開後25日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、pytorch-lightningをバージョン1.6.0以降にアップデートすることです。アップデートがすぐに利用できない場合、入力データの検証を強化し、信頼できないソースからの入力を制限することで、攻撃のリスクを軽減できます。また、WAF（Web Application Firewall）を導入し、悪意のあるコードの実行をブロックすることも有効です。さらに、pytorch-lightningのログを監視し、異常なアクティビティを検出するためのルールを設定することも推奨されます。アップデート後、pytorch-lightningのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

pytorch-lightning ライブラリをバージョン 1.6.0 以降にアップデートしてください。これにより、コードインジェクション (Code Injection) の脆弱性が修正されます。pip を使用してアップデートするには、`pip install pytorch-lightning --upgrade` を実行してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-0845 — コードインジェクション in pytorch-lightningとは何ですか？

CVE-2022-0845は、pytorch-lightningのバージョン1.5.10.post0以前に存在するコードインジェクション脆弱性であり、攻撃者が悪意のあるコードを実行する可能性があります。

CVE-2022-0845 in pytorch-lightningに影響を受けますか？

pytorch-lightningのバージョンが1.5.10.post0以前を使用している場合、この脆弱性に影響を受けます。

CVE-2022-0845 in pytorch-lightningを修正するにはどうすればよいですか？

pytorch-lightningをバージョン1.6.0以降にアップデートすることで修正できます。

CVE-2022-0845は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、攻撃のリスクは高いと考えられます。

CVE-2022-0845のpytorch-lightning公式アドバイザリはどこで入手できますか？

pytorch-lightningの公式アドバイザリは、GitHubリポジトリのリリースノートで確認できます: [https://github.com/pytorch/pytorch/releases/tag/v1.6.0](https://github.com/pytorch/pytorch/releases/tag/v1.6.0)