Katalog CVE

CVE-2026-46517

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

LMDeploy to zestaw narzędzi do kompresji, wdrażania i serwowania dużych modeli językowych. W wersjach 0.12.3 i wcześniejszych, twardo zakodowana opcja 'trust_remote_code=True' umożliwia zdalne wykonanie kodu w łańcuchu dostaw HF bez zgody użytkownika.

Ocena ryzyka

Brak poprawek publicznych naraża organizacje na ryzyko zdalnego wykonania kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji LMDeploy, aby wyeliminować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

LMDeploy is a toolkit for compressing, deploying, and serving large language models. In versions 0.12.3 and prior, hardcoded "trust_remote_code=True" enables HF supply-chain RCE without user opt-in. At time of publication, there are no publicly available patches.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS