CRITICALCVE-2024-0917CVSS 9.4

paddlepaddle/paddle 2.6.0 におけるリモートコード実行

プラットフォーム

python

コンポーネント

paddlepaddle/paddle

AI Confidence: highNVDEPSS 1.8%レビュー済み: 2026年5月

CVE-2024-0917は、PaddlePaddle 2.6.0以前のバージョンに存在するリモートコード実行（RCE）脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上で任意のコードを実行し、機密情報の窃取やシステムの乗っ取りといった深刻な被害をもたらす可能性があります。影響を受けるバージョンはPaddlePaddle 2.6.0以前です。最新バージョンへのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このRCE脆弱性は、攻撃者にとって非常に危険です。攻撃者は、PaddlePaddleの処理パイプラインを悪用し、悪意のあるコードを注入することができます。これにより、攻撃者はシステム上で任意のコマンドを実行し、機密データにアクセスしたり、他のシステムへの攻撃の足がかりとして利用したりすることが可能になります。特に、PaddlePaddleを組み込んだ機械学習モデルのデプロイ環境は、攻撃の対象となりやすいと考えられます。この脆弱性の悪用は、システム全体の停止や、機密情報の漏洩につながる可能性があります。

悪用の状況

この脆弱性は、2024年3月7日に公開されました。現時点では、パブリックなPoC（Proof of Concept）は確認されていませんが、RCE脆弱性であるため、悪用される可能性は高いと考えられます。CISAのKEV（Known Exploited Vulnerabilities）カタログへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の動向を注視する必要があります。

リスク対象者翻訳中…

Organizations deploying PaddlePaddle for machine learning and AI applications are at significant risk. This includes research institutions, businesses using PaddlePaddle for model training and inference, and cloud providers offering PaddlePaddle-based services. Specifically, those using older, unpatched versions of PaddlePaddle are most vulnerable.

検出手順翻訳中…

• python / supply-chain:

import subprocess
import os

# Check PaddlePaddle version
result = subprocess.run(['python', '-c', 'import paddle; print(paddle.__version__)'], capture_output=True, text=True) 
version = result.stdout.strip()
if version <= '2.6.0':
    print(f"PaddlePaddle version is vulnerable: {version}")

# Check for suspicious files (replace with actual IOCs if available)
# Example: Check for a specific file created by an attacker
# if os.path.exists('/tmp/malicious_script.py'):
#     print("Potential malicious file detected!")

• generic web: Monitor web application logs for unusual Python code execution patterns or errors related to PaddlePaddle. Look for requests containing potentially malicious input that could trigger the RCE.

攻撃タイムライン

2024-03-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.84% (83% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpaddlepaddle/paddle

ベンダーpaddlepaddle

影響範囲修正版

unspecified – latest—

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-01-26
公開日2024-03-07
更新日2025-02-13
EPSS 更新日2026-04-02

未パッチ — 公開から808日経過

緩和策と回避策

この脆弱性への対応として、まず、PaddlePaddleを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、入力データの検証を厳格に行い、悪意のあるコードが実行される可能性を低減してください。また、WAF（Web Application Firewall）やIPS（Intrusion Prevention System）などのセキュリティ対策を導入し、悪意のあるリクエストを検知・遮断することも有効です。さらに、PaddlePaddleのログを監視し、異常なアクティビティを早期に発見できるようにすることが重要です。

修正方法

PaddlePaddle を 2.6.0 より後のバージョンにアップデートしてください。これにより、リモートコード実行の脆弱性が修正されます。詳細については、リリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-0917 — RCE in PaddlePaddleとは何ですか？

CVE-2024-0917は、PaddlePaddle 2.6.0以前のバージョンに存在するリモートコード実行（RCE）脆弱性です。攻撃者は、この脆弱性を悪用して、システム上で任意のコードを実行できます。

CVE-2024-0917 in PaddlePaddleの影響はありますか？

はい、影響があります。PaddlePaddle 2.6.0以前のバージョンを使用している場合、攻撃者はシステムを制御し、機密情報を窃取する可能性があります。

CVE-2024-0917 in PaddlePaddleを修正するにはどうすればよいですか？

PaddlePaddleを最新バージョンにアップデートすることで、この脆弱性は修正されます。アップデートが困難な場合は、入力データの検証を厳格に行うなどの対策を講じてください。

CVE-2024-0917は積極的に悪用されていますか？

現時点ではパブリックなPoCは確認されていませんが、RCE脆弱性であるため、悪用される可能性は高いと考えられます。

CVE-2024-0917に関する公式のPaddlePaddleのアドバイザリはどこで入手できますか？

PaddlePaddleの公式ウェブサイトまたはGitHubリポジトリで、CVE-2024-0917に関するアドバイザリをご確認ください。