CVE-2026-46517
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
LMDeploy to zestaw narzędzi do kompresji, wdrażania i serwowania dużych modeli językowych. W wersjach 0.12.3 i wcześniejszych, twardo zakodowana opcja 'trust_remote_code=True' umożliwia zdalne wykonanie kodu w łańcuchu dostaw HF bez zgody użytkownika.
Ocena ryzyka
Brak poprawek publicznych naraża organizacje na ryzyko zdalnego wykonania kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji LMDeploy, aby wyeliminować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
LMDeploy is a toolkit for compressing, deploying, and serving large language models. In versions 0.12.3 and prior, hardcoded "trust_remote_code=True" enables HF supply-chain RCE without user opt-in. At time of publication, there are no publicly available patches.

