Katalog CVE

CVE-2026-31237

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Framework Ludwig do wersji 0.10.4 jest podatny na niebezpieczną deserializację poprzez metodę predict(). Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na systemie, jeśli dostarczy złośliwie przygotowany plik pickle.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację frameworka Ludwig do najnowszej wersji oraz unikanie używania plików pickle w metodzie predict() bez odpowiednich zabezpieczeń.

Oryginalny opis (angielski, źródło NVD)

The Ludwig framework thru 0.10.4 is vulnerable to insecure deserialization (CWE-502) through its predict() method. When a user provides a dataset file path to the predict() method, the framework automatically determines the file format. If the file is a pickle (.pkl) file, it is loaded using pandas.read_pickle() without any validation or security restrictions. This allows the deserialization of arbitrary Python objects via the unsafe pickle module. A remote attacker can exploit this by providing a maliciously crafted pickle file, leading to arbitrary code execution on the system running the Ludwig prediction.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS