CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-12029

Critical
Published: Translated: NVD NIST

Summary

W wersjach 5.3.1 do 5.4.2 biblioteki invoke-ai/invokeai występuje podatność na zdalne wykonanie kodu poprzez API /api/v2/models/install. Problem wynika z niebezpiecznej deserializacji plików modeli przy użyciu torch.load bez odpowiedniej walidacji.

Risk Assessment

Atakujący mogą osadzić złośliwy kod w plikach modeli, który zostanie wykonany podczas ich ładowania, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację do wersji 5.4.3, w której problem został naprawiony, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

A remote code execution vulnerability exists in invoke-ai/invokeai versions 5.3.1 through 5.4.2 via the /api/v2/models/install API. The vulnerability arises from unsafe deserialization of model files using torch.load without proper validation. Attackers can exploit this by embedding malicious code in model files, which is executed upon loading. This issue is fixed in version 5.4.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS