Platform
python
Component
paddlepaddle
Opgelost in
2.6.0
CVE-2024-0521 beschrijft een command injection kwetsbaarheid in PaddlePaddle, een open-source deep learning platform. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige commando's uit te voeren op het systeem door middel van de 'url' parameter, die onvoldoende wordt gevalideerd. De kwetsbaarheid treft versies van PaddlePaddle tot en met 2.5.2. Een fix is beschikbaar in versie 2.6.0.
Een succesvolle exploitatie van CVE-2024-0521 kan leiden tot volledige controle over het getroffen systeem. De aanvaller kan gevoelige informatie stelen, malware installeren, of het systeem gebruiken om aanvallen op andere systemen uit te voeren. De impact is aanzienlijk, aangezien PaddlePaddle in diverse machine learning toepassingen wordt gebruikt, waardoor de potentiële schade groot is. De kwetsbaarheid lijkt op eerdere command injection kwetsbaarheden waarbij onvoldoende input validatie leidde tot ongeautoriseerde code uitvoering. Het risico is verhoogd als PaddlePaddle wordt gebruikt in omgevingen met beperkte beveiligingsmaatregelen of als de 'url' parameter afkomstig is van onbetrouwbare bronnen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen informatie over actieve exploitatiecampagnes, maar de hoge CVSS score (9.3) en de beschikbaarheid van de details suggereren dat exploitatie mogelijk is. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen publieke proof-of-concept exploits bekend op het moment van publicatie.
Organizations and individuals using PaddlePaddle for deep learning applications, particularly those deploying it in production environments or integrating it with untrusted data sources, are at risk. Those using older, unpatched versions of PaddlePaddle are especially vulnerable. Shared hosting environments where multiple users share the same server are also at increased risk.
• python / supply-chain:
import subprocess
import os
# Check for PaddlePaddle version
result = subprocess.run(['python', '-c', 'import paddle; print(paddle.__version__)'], capture_output=True, text=True)
version = result.stdout.strip()
if version <= '2.5.2':
print('PaddlePaddle version is vulnerable!')• generic web: Check for unusual command execution patterns in system logs. Look for processes spawned with unexpected arguments containing URL-like strings. • python / server: Monitor Python processes for suspicious network connections or file access patterns.
disclosure
Exploit Status
EPSS
0.10% (27% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-0521 is het upgraden naar PaddlePaddle versie 2.6.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van strenge input validatie op de 'url' parameter om te voorkomen dat kwaadaardige commando's worden geïnjecteerd. Het gebruik van een Web Application Firewall (WAF) kan helpen om verdachte patronen in de URL te detecteren en te blokkeren. Controleer de PaddlePaddle configuratie om te zorgen dat er geen onnodige privileges worden verleend aan de applicatie.
Werk paddlepaddle/paddle bij naar de laatste beschikbare versie. Dit zal de code injectie kwetsbaarheid oplossen. Raadpleeg de release notes voor meer details over de correctie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-0521 is a critical command injection vulnerability affecting PaddlePaddle versions up to 2.5.2. It allows attackers to execute arbitrary commands by manipulating a URL parameter, potentially leading to remote code execution.
You are affected if you are using PaddlePaddle version 2.5.2 or earlier. Check your PaddlePaddle version and upgrade if necessary.
Upgrade to PaddlePaddle version 2.6.0 or later to resolve this vulnerability. If immediate upgrade is not possible, implement input validation on the URL parameter.
While no widespread exploitation has been confirmed, the nature of command injection vulnerabilities suggests that exploitation is likely. Monitor your systems for suspicious activity.
Refer to the PaddlePaddle security advisory for detailed information and updates: [https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999](https://github.com/PaddlePaddle/Paddle/security/advisories/GHSA-9999)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.