CVE-2024-12029
CriticalSummary
W wersjach 5.3.1 do 5.4.2 biblioteki invoke-ai/invokeai występuje podatność na zdalne wykonanie kodu poprzez API /api/v2/models/install. Problem wynika z niebezpiecznej deserializacji plików modeli przy użyciu torch.load bez odpowiedniej walidacji.
Risk Assessment
Atakujący mogą osadzić złośliwy kod w plikach modeli, który zostanie wykonany podczas ich ładowania, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do wersji 5.4.3, w której problem został naprawiony, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
A remote code execution vulnerability exists in invoke-ai/invokeai versions 5.3.1 through 5.4.2 via the /api/v2/models/install API. The vulnerability arises from unsafe deserialization of model files using torch.load without proper validation. Attackers can exploit this by embedding malicious code in model files, which is executed upon loading. This issue is fixed in version 5.4.3.

