CVE-2024-52803

Versões do LLama Factory <=0.9.0

Foi identificada uma vulnerabilidade crítica de injeção remota de comandos do sistema operacional no processo de treinamento do LLama Factory. Esse problema decorre do tratamento inadequado das entradas do usuário, permitindo que agentes mal-intencionados executem comandos arbitrários do sistema operacional no sistema host. O problema é causado pelo uso inseguro da função Popen com shell=True, aliado a entradas do usuário não sanitizadas. Essa vulnerabilidade permite que invasores executem comandos arbitrários do sistema operacional no servidor, comprometendo potencialmente dados confidenciais ou escalando privilégios, além de implantar malware ou criar backdoors persistentes no sistema, aumentando significativamente o risco de violações de dados e interrupções operacionais.

Para versões <=0.9.0, evite usar shell=True em Popen. Em vez disso, passe o comando e seus argumentos como uma lista para impedir que entradas do usuário sejam executadas como parte de um comando de shell. Atualize para a versão 0.9.1, que inclui a correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o uso da função Popen com shell=True até que a atualização possa ser aplicada.