Katalog CVE

CVE-2026-31226

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Projekt TinyZero zawiera krytyczną podatność na wstrzykiwanie poleceń (CWE-78) w swoich narzędziach operacyjnych HDFS. Podatność wynika z niebezpiecznego konstruowania i wykonywania poleceń powłoki za pomocą os.system() bez odpowiedniej sanitizacji lub ucieczki danych wejściowych.

Ocena ryzyka

Atakujący może wstrzyknąć dowolne polecenia systemowe, co prowadzi do zdalnego wykonania kodu z uprawnieniami użytkownika uruchamiającego proces szkoleniowy TinyZero. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się poprawienie sanitizacji danych wejściowych oraz unikanie używania os.system() w celu wykonania poleceń powłoki. Należy również przeprowadzić audyt kodu w celu identyfikacji i naprawy podobnych podatności.

Oryginalny opis (angielski, źródło NVD)

The TinyZero project thru commit 6652a63c57fa7e5ccde3fc9c598c7176ff15b839 (2025-58-24) contains a critical command injection vulnerability (CWE-78) in its HDFS file operation utilities. The vulnerability arises from the unsafe construction and execution of shell commands via os.system() without proper input sanitization or escaping. User-controlled input (such as file paths) is directly interpolated into shell command strings using f-strings within the _copy() function. An attacker can inject arbitrary OS commands by supplying a specially crafted path parameter through the Hydra configuration framework. This leads to remote code execution with the privileges of the user running the TinyZero training process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS