CVE-2026-47117
CriticalCVSS 9.8Summary
OpenMed w wersjach przed 1.5.2 zawiera podatność na zdalne wykonanie kodu w ścieżce ładowania modelu filtra prywatności PII. Dispatcher filtra prywatności stosował szerokie dopasowanie podciągów na parametrze model_name dostarczanym przez użytkownika, co pozwalało na przekierowanie do ścieżki ładującej modele Hugging Face z ustawieniem trust_remote_code=True.
Risk Assessment
Nieautoryzowany atakujący może dostarczyć złośliwe repozytorium modelu zawierające niestandardowy kod Transformers, co prowadzi do jego importu i wykonania z uprawnieniami procesu usługi OpenMed. To stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Recommendation
Zaleca się aktualizację OpenMed do wersji 1.5.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do parametrów konfiguracyjnych, aby zminimalizować ryzyko wykorzystania tej luki.
Original NVD description (English source)
OpenMed before 1.5.2 contains a remote code execution vulnerability in the PII privacy-filter model loading path. The privacy-filter dispatcher used broad substring matching on the user-supplied model_name parameter, allowing a value such as attacker/foo-privacy-filter-bar to route through a path that loads Hugging Face models with trust_remote_code=True. An unauthenticated attacker can supply a malicious model repository containing custom Transformers code via auto_map in config.json or tokenizer_config.json, which is imported and executed with the privileges of the OpenMed service process.

