CVE-2024-5480

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-5480
Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
CVSS

No CVSS.

References

No reference.

Configurations

No configuration.

History

02 Oct 2024, 16:15

Type Values Removed Values Added
CWE CWE-77
CVSS v2 : unknown
v3 : 10.0 		v2 : unknown
v3 : unknown
References
  • {'url': 'https://huntr.com/bounties/39811836-c5b3-4999-831e-46fee8fcade3', 'source': 'security@huntr.dev'}
Summary
  • (es) Una vulnerabilidad en el framework torch.distributed.rpc de PyTorch, específicamente en versiones anteriores a la 2.2.2, permite la ejecución remota de código (RCE). El framework, que se utiliza en escenarios de capacitación distribuida, no verifica adecuadamente las funciones que se llaman durante las operaciones RPC (llamada a procedimiento remoto). Esta supervisión permite a los atacantes ejecutar comandos arbitrarios aprovechando las funciones integradas de Python, como la evaluación, durante la comunicación RPC entre múltiples CPU. La vulnerabilidad surge de la falta de restricción en las llamadas a funciones cuando un nodo trabajador serializa y envía una PythonUDF (función definida por el usuario) al nodo maestro, que luego deserializa y ejecuta la función sin validación. Esta falla puede explotarse para comprometer los nodos maestros que inician el entrenamiento distribuido, lo que podría conducir al robo de datos confidenciales relacionados con la IA.
Summary (en) A vulnerability in the PyTorch's torch.distributed.rpc framework, specifically in versions prior to 2.2.2, allows for remote code execution (RCE). The framework, which is used in distributed training scenarios, does not properly verify the functions being called during RPC (Remote Procedure Call) operations. This oversight permits attackers to execute arbitrary commands by leveraging built-in Python functions such as eval during multi-cpu RPC communication. The vulnerability arises from the lack of restriction on function calls when a worker node serializes and sends a PythonUDF (User Defined Function) to the master node, which then deserializes and executes the function without validation. This flaw can be exploited to compromise master nodes initiating distributed training, potentially leading to the theft of sensitive AI-related data. (en) Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.

07 Jun 2024, 14:56

Type Values Removed Values Added
Summary
  • (es) Una vulnerabilidad en el framework torch.distributed.rpc de PyTorch, específicamente en versiones anteriores a la 2.2.2, permite la ejecución remota de código (RCE). El framework, que se utiliza en escenarios de capacitación distribuida, no verifica adecuadamente las funciones que se llaman durante las operaciones RPC (llamada a procedimiento remoto). Esta supervisión permite a los atacantes ejecutar comandos arbitrarios aprovechando las funciones integradas de Python, como la evaluación, durante la comunicación RPC entre múltiples CPU. La vulnerabilidad surge de la falta de restricción en las llamadas a funciones cuando un nodo trabajador serializa y envía una PythonUDF (función definida por el usuario) al nodo maestro, que luego deserializa y ejecuta la función sin validación. Esta falla puede explotarse para comprometer los nodos maestros que inician el entrenamiento distribuido, lo que podría conducir al robo de datos confidenciales relacionados con la IA.

06 Jun 2024, 19:16

Type Values Removed Values Added
New CVE
Information

Published : 2024-06-06 19:16

Updated : 2024-10-02 16:15

NVD link : CVE-2024-5480

Mitre link : CVE-2024-5480

CVE.ORG link : CVE-2024-5480

JSON object : View

Products Affected

No product.

CWE

No CWE.