PT-2022-7517 · Pytorch+1 · Pytorch+1

Lyutoo

·

Publicado

2022-11-11

·

Atualizado

2024-03-06

·

CVE-2022-45907

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do PyTorch anteriores à 1.13.1
Descrição
O problema está relacionado ao gerenciamento incorreto da geração de código na função torch.jit.annotations.parse type line() da estrutura de aprendizado de máquina PyTorch. Isso pode permitir que um invasor remoto execute código arbitrário devido ao uso inseguro da função eval.
Recomendações
Para versões anteriores à 1.13.1, atualize para a versão 1.13.1 para resolver o problema. Como solução temporária, considere restringir o uso da função torch.jit.annotations.parse type line() até que um patch esteja disponível.

Exploit

Correção

Code Injection

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-77

Identificadores relacionados

BDU:2024-06840
BIT-PYTORCH-2022-45907
CVE-2022-45907
GHSA-47FC-VMWQ-366V
PYSEC-2022-43015

Produtos afetados

Debian
Pytorch