Katalog CVE

CVE-2026-26210

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

KTransformers w wersjach do 0.5.3 zawiera podatność na niebezpieczną deserializację w trybie backendowym balance_serve. Serwer RPC planowania wiąże gniazdo ZMQ ROUTER do wszystkich interfejsów bez uwierzytelnienia i deserializuje przychodzące wiadomości za pomocą pickle.loads() bez walidacji.

Ocena ryzyka

Atakujący mogą wysłać spreparowany ładunek pickle do wystawionego gniazda ZMQ, co pozwala na wykonanie dowolnego kodu na serwerze z uprawnieniami procesu ktransformers. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację KTransformers do wersji, która naprawia tę podatność oraz wdrożenie odpowiednich mechanizmów uwierzytelniania i walidacji danych przychodzących.

Oryginalny opis (angielski, źródło NVD)

KTransformers through 0.5.3 contains an unsafe deserialization vulnerability in the balance_serve backend mode where the scheduler RPC server binds a ZMQ ROUTER socket to all interfaces with no authentication and deserializes incoming messages using pickle.loads() without validation. Attackers can send a crafted pickle payload to the exposed ZMQ socket to execute arbitrary code on the server with the privileges of the ktransformers process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS