Opgelost in
1.6.0
1.6.0
CVE-2022-0845 beschrijft een code-injectie kwetsbaarheid in de GitHub repository pytorch-lightning/pytorch-lightning. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op een systeem dat kwetsbare versies van pytorch-lightning gebruikt. De kwetsbaarheid treft versies van pytorch-lightning tot en met 1.5.10.post0. Een fix is beschikbaar in versie 1.6.0.
De code-injectie kwetsbaarheid in pytorch-lightning maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren met de privileges van de applicatie die pytorch-lightning gebruikt. Dit kan leiden tot volledige controle over het systeem, inclusief toegang tot gevoelige gegevens, installatie van malware en het compromitteren van andere systemen in hetzelfde netwerk. Afhankelijk van de context waarin pytorch-lightning wordt gebruikt, kan de impact aanzienlijk zijn, met name in omgevingen waar machine learning modellen worden getraind en ingezet. Een succesvolle exploitatie kan vergelijkbaar zijn met scenario's waarbij een aanvaller toegang krijgt tot de trainingsdata of de ingezette modellen kan manipuleren.
Deze kwetsbaarheid is openbaar bekend en er zijn mogelijk reeds proof-of-concept exploits beschikbaar. De impact is hoog vanwege de mogelijkheid tot code-injectie. Er is geen informatie beschikbaar over actieve campagnes of vermelding op de CISA KEV catalogus op het moment van schrijven.
Organizations and individuals utilizing PyTorch Lightning for machine learning model training and deployment are at risk, particularly those using older versions (≤1.5.10.post0). This includes researchers, data scientists, and DevOps engineers working with PyTorch-based projects. Shared hosting environments where PyTorch Lightning is deployed could also be vulnerable if multiple users share the same environment and one user can inject malicious code.
• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'pytorch-lightning'], capture_output=True, text=True)
if 'Version' in result.stdout and result.stdout.splitlines()[2].startswith('1.5.'):
print('Vulnerable version detected!')• python / server: Review PyTorch Lightning configuration files for any unusual or unexpected code snippets. • generic web: Inspect PyTorch Lightning model deployment pipelines for potential injection points.
disclosure
Exploit Status
EPSS
0.27% (51% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-0845 is het upgraden naar pytorch-lightning versie 1.6.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van strikte input validatie en sanitatie op alle data die naar pytorch-lightning wordt gestuurd. Controleer de code op verdachte patronen die code-injectie mogelijk maken. Gebruik een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren. Na de upgrade, verifieer de fix door te proberen de kwetsbare code uit te voeren en te controleren of deze nu wordt geblokkeerd.
Actualiseer de pytorch-lightning bibliotheek naar versie 1.6.0 of hoger. Dit zal de code injectie kwetsbaarheid oplossen. U kunt updaten met pip: `pip install pytorch-lightning --upgrade`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-0845 is a critical code injection vulnerability affecting PyTorch Lightning versions up to 1.5.10.post0, allowing attackers to execute arbitrary code.
If you are using PyTorch Lightning versions 1.5.10.post0 or earlier, you are vulnerable to this code injection vulnerability.
Upgrade PyTorch Lightning to version 1.6.0 or later to remediate the vulnerability. Review and sanitize any external data used within PyTorch Lightning workflows.
While no confirmed active exploitation campaigns have been publicly reported, the CRITICAL severity warrants immediate attention and mitigation.
Refer to the PyTorch Lightning GitHub repository and related security advisories for the latest information: [https://github.com/pytorch/pytorch-lightning](https://github.com/pytorch/pytorch-lightning)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.