CVE-2026-38950
WysokieCVSS 7.8Streszczenie
W ESA AnomalyMatch przed wersją 1.3.1 występuje problem, który pozwala atakującym na wykonanie dowolnego kodu poprzez spreparowane pliki punktów kontrolnych modeli. Affected components ładują pliki modeli z katalogów sesji przy użyciu torch.load() bez ograniczeń w deserializacji.
Ocena ryzyka
Organizacje mogą być narażone na zdalne wykonanie kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Wykorzystanie tej podatności może mieć poważne konsekwencje dla bezpieczeństwa infrastruktury IT.
Rekomendacja
Zaleca się aktualizację ESA AnomalyMatch do wersji 1.3.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do plików punktów kontrolnych modeli oraz stosować odpowiednie mechanizmy zabezpieczeń dla deserializacji.
Oryginalny opis (angielski, źródło NVD)
An issue in ESA AnomalyMatch before 1.3.1 allow attackers to execute arbitrary code via crafted model checkpoint files. The affected components load model files from session directories using torch.load() with unrestricted deserialization.

