Vulnerabilidad en Amazon SageMaker (CVE-2024-34073)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/05/2024
Última modificación:
15/04/2026
Descripción
sagemaker-python-sdk es una librería para entrenar e implementar modelos de aprendizaje automático en Amazon SageMaker. En las versiones afectadas, la función capture_dependencies en el módulo `sagemaker.serve.save_retrive.version_1_0_0.save.utils` permite la inyección de comandos del sistema operativo (SO) potencialmente inseguro si se pasa un comando inapropiado como parámetro “requirements_path”. En consecuencia, esto puede permitir que un tercero sin privilegios provoque la ejecución remota de código y la denegación de servicio, afectando tanto la confidencialidad como la integridad. Este problema se solucionó en la versión 2.214.3. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar no deben anular el parámetro "requirements_path" de la función capture_dependencies en `sagemaker.serve.save_retrive.version_1_0_0.save.utils` y, en su lugar, usar el valor predeterminado.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/aws/sagemaker-python-sdk/commit/2d873d53f708ea570fc2e2a6974f8c3097fe9df5
- https://github.com/aws/sagemaker-python-sdk/pull/4556
- https://github.com/aws/sagemaker-python-sdk/security/advisories/GHSA-7pc3-pr3q-58vg
- https://github.com/aws/sagemaker-python-sdk/commit/2d873d53f708ea570fc2e2a6974f8c3097fe9df5
- https://github.com/aws/sagemaker-python-sdk/pull/4556
- https://github.com/aws/sagemaker-python-sdk/security/advisories/GHSA-7pc3-pr3q-58vg