CRITICAL🇬🇧 English

CVE-2024-5980

Path Traversal w PyTorch Lightning umożliwiający RCE przez złośliwy plugin

CVSS 9.8v3.1pub. 2024-06-27upd. 2025-10-15

Podatność typu path traversal w endpoincie /v1/runs biblioteki lightning-ai/pytorch-lightning v2.2.4 pozwala atakującemu na zapisanie dowolnych plików w dowolnym miejscu systemu plików ofiary. W konsekwencji możliwe jest zdalne wykonanie kodu (RCE) bez uwierzytelnienia.

Pokaż oryginał (EN)

A vulnerability in the /v1/runs API endpoint of lightning-ai/pytorch-lightning v2.2.4 allows attackers to exploit path traversal when extracting tar.gz files. When the LightningApp is running with the plugin_server, attackers can deploy malicious tar.gz plugins that embed arbitrary files with path traversal vulnerabilities. This can result in arbitrary files being written to any directory in the victim's local file system, potentially leading to remote code execution.

🤖 Analiza AI
Jak działa

Podatność dotyczy mechanizmu obsługi plików tar.gz przez serwer pluginów (plugin_server) w aplikacji LightningApp. Atakujący może przygotować złośliwy archiwum tar.gz zawierające pliki ze ścieżkami zawierającymi sekwencje path traversal (np. '../'). Gdy LightningApp przetwarza taki plik przez endpoint /v1/runs, złośliwe pliki są rozpakowywane poza zamierzony katalog docelowy i mogą trafiać do dowolnych lokalizacji w systemie plików ofiary. Umieszczenie odpowiednich plików wykonywalnych lub konfiguracyjnych w krytycznych lokalizacjach może prowadzić do zdalnego wykonania kodu.

Skutki

Atakujący może zapisać dowolne pliki w dowolnym katalogu lokalnego systemu plików ofiary, co może prowadzić do zdalnego wykonania kodu (RCE) i pełnego przejęcia kontroli nad systemem.

Mitygacja

Należy zastosować patch dostępny w repozytorium producenta (commit 330af381de88cff17515418a341cbc1f9f127f9a na GitHub). Zaleca się aktualizację do wersji zawierającej wskazaną poprawkę. Do czasu aktualizacji należy rozważyć wyłączenie funkcji plugin_server lub ograniczenie dostępu sieciowego do endpointu /v1/runs.

Kogo dotyczy

lightning-ai/pytorch-lightning w wersji v2.2.4, gdy aplikacja LightningApp działa z włączonym plugin_server

Uwagi

Podatność zgłoszona za pośrednictwem platformy huntr.com (bounty 55a6ac6f-89c7-42ea-86f3-c6e93a2679f3). Poprawka dostępna jako commit 330af381de88cff17515418a341cbc1f9f127f9a w repozytorium GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lightningai Pytorch Lightning

    APP
    Lightningai
    2.2.4 – 2.3.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-44484CRITICAL9.3PL ✓ten sam produkt

PyTorch Lightning – mechanizm harvesting poświadczeń (Embedded Malicious Code)

CVE-2024-8019CRITICAL9.1PL ✓ten sam produkt

RCE przez upload pliku w PyTorch Lightning (Windows) – CVE-2024-8019

CVE-2024-5452CRITICAL9.8PL ✓ten sam produkt

RCE w pytorch-lightning przez podatną deserializację obiektów deepdiff

CVE-2022-0845CRITICAL9.8ten sam produkt

Code Injection in GitHub repository pytorchlightning/pytorch-lightning prior to 1.6.0.

CVE-2026-31221HIGH7.8ten sam produkt

PyTorch-Lightning versions 2.6.0 and earlier contain an insecure deserialization vulnerability (CWE-502) in th...

CVE-2024-5980 — Path Traversal w PyTorch Lightning umożliwiający RCE przez złośliwy plugin — CRITICAL 9.8 | CVEbaza.pl