CVE-2026-31234
KrytyczneStreszczenie
Horovod w wersji do 0.28.1 zawiera podatność na niebezpieczną deserializację w komponencie serwera KVStore HTTP. Brak kontroli uwierzytelniania i autoryzacji umożliwia zdalnemu atakującemu wysyłanie dowolnych danych za pomocą żądań HTTP PUT, co prowadzi do możliwości wykonania złośliwego kodu.
Ocena ryzyka
Organizacja narażona jest na ryzyko zdalnego wykonania kodu, co może prowadzić do utraty danych, przejęcia systemów lub innych poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Horovod do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów uwierzytelniania i autoryzacji dla serwera KVStore.
Oryginalny opis (angielski, źródło NVD)
Horovod thru 0.28.1 contains an insecure deserialization vulnerability (CWE-502) in its KVStore HTTP server component. The KVStore server, used for distributed task coordination, lacks authentication and authorization controls, allowing any remote attacker to write arbitrary data via HTTP PUT requests. When a Horovod worker reads data from the KVStore (via HTTP GET), it deserializes the data using cloudpickle.loads() without verifying its source or integrity. An attacker can exploit this by sending a malicious pickle payload to the server before the legitimate data is written, causing the victim worker to deserialize and execute arbitrary code, leading to remote code execution.

