pdsa-2023-005_cn.md

PDSA-2023-005: Command injection in fs.py

CVE编号

CVE-2023-38673

影响

fs.py中的功能函数存在命令注入，可以执行任意命令，PoC代码如下：

from paddle.distributed.fleet.utils import LocalFS

client = LocalFS()
client.mkdirs("hi;pwd;")

补丁

我们在commit 2bfe358043096fdba9e2a4cf0f5740102b37fd8f中对此问题进行了补丁。 修复将包含在飞桨2.5.0版本当中。

更多信息

请参考我们的安全指南以获得更多关于安全的信息，以及如何与我们联系问题。

贡献者

此漏洞由 Xiaochen Guo from Huazhong University of Science and Technology 提交。