Podatność typu path traversal w endpoincie /v1/runs biblioteki lightning-ai/pytorch-lightning v2.2.4 pozwala atakującemu na zapisanie dowolnych plików w dowolnym miejscu systemu plików ofiary. W konsekwencji możliwe jest zdalne wykonanie kodu (RCE) bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
A vulnerability in the /v1/runs API endpoint of lightning-ai/pytorch-lightning v2.2.4 allows attackers to exploit path traversal when extracting tar.gz files. When the LightningApp is running with the plugin_server, attackers can deploy malicious tar.gz plugins that embed arbitrary files with path traversal vulnerabilities. This can result in arbitrary files being written to any directory in the victim's local file system, potentially leading to remote code execution.
Podatność dotyczy mechanizmu obsługi plików tar.gz przez serwer pluginów (plugin_server) w aplikacji LightningApp. Atakujący może przygotować złośliwy archiwum tar.gz zawierające pliki ze ścieżkami zawierającymi sekwencje path traversal (np. '../'). Gdy LightningApp przetwarza taki plik przez endpoint /v1/runs, złośliwe pliki są rozpakowywane poza zamierzony katalog docelowy i mogą trafiać do dowolnych lokalizacji w systemie plików ofiary. Umieszczenie odpowiednich plików wykonywalnych lub konfiguracyjnych w krytycznych lokalizacjach może prowadzić do zdalnego wykonania kodu.
Atakujący może zapisać dowolne pliki w dowolnym katalogu lokalnego systemu plików ofiary, co może prowadzić do zdalnego wykonania kodu (RCE) i pełnego przejęcia kontroli nad systemem.
Należy zastosować patch dostępny w repozytorium producenta (commit 330af381de88cff17515418a341cbc1f9f127f9a na GitHub). Zaleca się aktualizację do wersji zawierającej wskazaną poprawkę. Do czasu aktualizacji należy rozważyć wyłączenie funkcji plugin_server lub ograniczenie dostępu sieciowego do endpointu /v1/runs.
lightning-ai/pytorch-lightning w wersji v2.2.4, gdy aplikacja LightningApp działa z włączonym plugin_server
Podatność zgłoszona za pośrednictwem platformy huntr.com (bounty 55a6ac6f-89c7-42ea-86f3-c6e93a2679f3). Poprawka dostępna jako commit 330af381de88cff17515418a341cbc1f9f127f9a w repozytorium GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLightningai Pytorch Lightning
APPLightningai2.2.4 – 2.3.3 (bez)
Powiązane podatności
PyTorch Lightning – mechanizm harvesting poświadczeń (Embedded Malicious Code)
RCE przez upload pliku w PyTorch Lightning (Windows) – CVE-2024-8019
RCE w pytorch-lightning przez podatną deserializację obiektów deepdiff
Code Injection in GitHub repository pytorchlightning/pytorch-lightning prior to 1.6.0.
PyTorch-Lightning versions 2.6.0 and earlier contain an insecure deserialization vulnerability (CWE-502) in th...