CVE-2026-26210
KrytyczneStreszczenie
KTransformers w wersjach do 0.5.3 zawiera podatność na niebezpieczną deserializację w trybie backendowym balance_serve. Serwer RPC planowania wiąże gniazdo ZMQ ROUTER do wszystkich interfejsów bez uwierzytelnienia i deserializuje przychodzące wiadomości za pomocą pickle.loads() bez walidacji.
Ocena ryzyka
Atakujący mogą wysłać spreparowany ładunek pickle do wystawionego gniazda ZMQ, co pozwala na wykonanie dowolnego kodu na serwerze z uprawnieniami procesu ktransformers. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację KTransformers do wersji, która naprawia tę podatność oraz wdrożenie odpowiednich mechanizmów uwierzytelniania i walidacji danych przychodzących.
Oryginalny opis (angielski, źródło NVD)
KTransformers through 0.5.3 contains an unsafe deserialization vulnerability in the balance_serve backend mode where the scheduler RPC server binds a ZMQ ROUTER socket to all interfaces with no authentication and deserializes incoming messages using pickle.loads() without validation. Attackers can send a crafted pickle payload to the exposed ZMQ socket to execute arbitrary code on the server with the privileges of the ktransformers process.

