CVE-2026-53805
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 — wyżej niż 48% wszystkich znanych CVE
Streszczenie
GEN3C w NVIDIA Spatial Intelligence Lab zawiera podatność na zdalne wykonanie kodu, która występuje w serwerze API inferencji. Punkty końcowe /request-inference i /seed-model deserializują surowe ciała żądań HTTP przy użyciu funkcji pickle.loads() w Pythonie bez uwierzytelnienia i walidacji danych wejściowych.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do zdalnego wykonania kodu, co może prowadzić do przejęcia kontroli nad systemem. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się wprowadzenie uwierzytelnienia oraz walidacji danych wejściowych dla punktów końcowych API. Należy również rozważyć ograniczenie dostępu do serwera API inferencji.
Oryginalny opis (angielski, źródło NVD)
NVIDIA Spatial Intelligence Lab's (SIL) GEN3C contains an unauthenticated remote code execution vulnerability in the inference API server where the /request-inference and /seed-model endpoints deserialize raw HTTP request bodies using Python's pickle.loads() without authentication or input validation. Attackers can supply a crafted payload containing a __reduce__ gadget to the inference API port to achieve remote code execution as the inference process.

