Katalog CVE

CVE-2024-12029

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach 5.3.1 do 5.4.2 biblioteki invoke-ai/invokeai występuje podatność na zdalne wykonanie kodu poprzez API /api/v2/models/install. Problem wynika z niebezpiecznej deserializacji plików modeli przy użyciu torch.load bez odpowiedniej walidacji.

Ocena ryzyka

Atakujący mogą osadzić złośliwy kod w plikach modeli, który zostanie wykonany podczas ich ładowania, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 5.4.3, w której problem został naprawiony, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

A remote code execution vulnerability exists in invoke-ai/invokeai versions 5.3.1 through 5.4.2 via the /api/v2/models/install API. The vulnerability arises from unsafe deserialization of model files using torch.load without proper validation. Attackers can exploit this by embedding malicious code in model files, which is executed upon loading. This issue is fixed in version 5.4.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS