CRITICALCVE-2024-0521CVSS 9.3

paddlepaddleにおけるコードインジェクション

プラットフォーム

python

コンポーネント

paddlepaddle

修正版

2.6.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-0521は、PaddlePaddleのURLパラメータの処理におけるコマンドインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上で任意のコマンドを実行する可能性があります。影響を受けるバージョンはPaddlePaddle 2.5.2以前です。2.6.0へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

このコマンドインジェクション脆弱性は、攻撃者がPaddlePaddleアプリケーションを実行しているシステム上で任意のコードを実行することを可能にします。攻撃者は、悪意のあるURLを介してコマンドを注入し、システムファイルへのアクセス、機密データの窃取、さらにはシステムの完全な制御の獲得を試みる可能性があります。この脆弱性は、特にPaddlePaddleをWebアプリケーションに組み込んでいる場合に深刻な影響を及ぼす可能性があります。攻撃者は、Webアプリケーションの脆弱性を利用して、PaddlePaddleの脆弱性を悪用し、バックエンドシステムにアクセスする可能性があります。

悪用の状況

CVE-2024-0521は、2024年1月20日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、コマンドインジェクション脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、PaddlePaddleアプリケーションを実行しているシステムに侵入し、機密情報を窃取する可能性があります。

リスク対象者翻訳中…

Organizations and individuals using PaddlePaddle for deep learning applications, particularly those deploying it in production environments or integrating it with untrusted data sources, are at risk. Those using older, unpatched versions of PaddlePaddle are especially vulnerable. Shared hosting environments where multiple users share the same server are also at increased risk.

検出手順翻訳中…

• python / supply-chain:

import subprocess
import os
# Check for PaddlePaddle version
result = subprocess.run(['python', '-c', 'import paddle; print(paddle.__version__)'], capture_output=True, text=True)
version = result.stdout.strip()
if version <= '2.5.2':
    print('PaddlePaddle version is vulnerable!')

• generic web: Check for unusual command execution patterns in system logs. Look for processes spawned with unexpected arguments containing URL-like strings. • python / server: Monitor Python processes for suspicious network connections or file access patterns.

攻撃タイムライン

2024-01-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.10% (27% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpaddlepaddle

ベンダーosv

影響範囲修正版

unspecified – latest—

—2.6.0

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-01-14
公開日2024-01-20
更新日2024-02-16
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずPaddlePaddleをバージョン2.6.0にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、入力のURLパラメータを厳密に検証し、サニタイズすることで、攻撃のリスクを軽減できます。Webアプリケーションファイアウォール（WAF）を導入し、悪意のあるURLパターンをブロックすることも有効です。また、PaddlePaddleのログを監視し、異常なコマンド実行の兆候を検出することも重要です。アップデート後、PaddlePaddleのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

paddlepaddle/paddleを最新バージョンにアップデートしてください。これにより、コードインジェクションの脆弱性が修正されます。詳細については、リリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-0521 — コマンドインジェクションはPaddlePaddleで何ですか？

CVE-2024-0521は、PaddlePaddleのURLパラメータ処理におけるコマンドインジェクション脆弱性です。攻撃者は、悪意のあるURLを介してシステム上で任意のコマンドを実行する可能性があります。

CVE-2024-0521でPaddlePaddleを使用していますか？

PaddlePaddleのバージョンが2.5.2以前の場合は、この脆弱性の影響を受けます。バージョン2.6.0にアップデートすることで修正されます。

CVE-2024-0521でPaddlePaddleを修正するにはどうすればよいですか？

PaddlePaddleをバージョン2.6.0にアップデートしてください。アップデートがすぐに利用できない場合は、入力のURLパラメータを厳密に検証し、サニタイズしてください。

CVE-2024-0521は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、悪用される可能性は高いと考えられます。

CVE-2024-0521の公式PaddlePaddleアドバイザリはどこで入手できますか？

公式アドバイザリは、PaddlePaddleのセキュリティ情報ページで確認できます。詳細は、関連するドキュメントを参照してください。