Katalog CVE

CVE-2026-31228

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 45 — wyżej niż 45% wszystkich znanych CVE

Streszczenie

Adversarial Robustness Toolbox (ART) do wersji 1.20.1 zawiera podatność zdalnego wykonania kodu w komponencie Kubeflow. Funkcja oceny odporności dla modeli PyTorch używa niebezpiecznej funkcji eval() do dynamicznego przetwarzania parametrów LossFn i Optimizer bez żadnej sanityzacji, co pozwala atakującemu na wstrzyknięcie dowolnego kodu Python.

Ocena ryzyka

Atakujący może całkowicie przejąć system uruchamiający ocenę ART, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz infrastruktury organizacji.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę ART do wersji nowszej niż 1.20.1, jeśli taka jest dostępna, lub zastosować obejście polegające na wyłączeniu lub zastąpieniu funkcji eval() bezpieczniejszym mechanizmem walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

The Adversarial Robustness Toolbox (ART) thru 1.20.1 contains a remote code execution vulnerability in its Kubeflow component. The robustness evaluation function for PyTorch models uses the unsafe eval() function to dynamically evaluate user-supplied strings for the LossFn and Optimizer parameters without any sanitization or security restrictions. An attacker can exploit this by providing a specially crafted string that contains arbitrary Python code, which will be executed when eval() is called, leading to complete compromise of the system running the ART evaluation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS