Katalog CVE

CVE-2026-38950

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W ESA AnomalyMatch przed wersją 1.3.1 występuje problem, który pozwala atakującym na wykonanie dowolnego kodu poprzez spreparowane pliki punktów kontrolnych modeli. Affected components ładują pliki modeli z katalogów sesji przy użyciu torch.load() bez ograniczeń w deserializacji.

Ocena ryzyka

Organizacje mogą być narażone na zdalne wykonanie kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Wykorzystanie tej podatności może mieć poważne konsekwencje dla bezpieczeństwa infrastruktury IT.

Rekomendacja

Zaleca się aktualizację ESA AnomalyMatch do wersji 1.3.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do plików punktów kontrolnych modeli oraz stosować odpowiednie mechanizmy zabezpieczeń dla deserializacji.

Oryginalny opis (angielski, źródło NVD)

An issue in ESA AnomalyMatch before 1.3.1 allow attackers to execute arbitrary code via crafted model checkpoint files. The affected components load model files from session directories using torch.load() with unrestricted deserialization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS