Nicholas Gould

**Nome do Software Vulnerável e Versões Afetadas** Docker Model Runner no macOS (versões afetadas não especificadas) **Descrição** O backend de inferência vllm-metal define incondicionalmente `trust remote code=True` ao carregar tokenizadores de modelos e opera sem sandboxing. Isso permite que a função `transformers.AutoTokenizer.from pretrained()` importe e execute arquivos Python arbitrários contidos em qualquer modelo recuperado de um registro OCI. Consequentemente, isso leva à execução de código arbitrário no host Docker com os privilégios do usuário do Docker Desktop quando a inferência é acionada. Qualquer contêiner na rede Docker pode iniciar esse processo chamando a API 'model-runner.docker.internal' para baixar um modelo malicioso e solicitar a inferência. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Docker Model Runner no macOS (versões afetadas não especificadas) **Descrição** O backend de inferência MLX utiliza a biblioteca MLX-LM, que importa e executa arquivos Python arbitrários de diretórios de modelos por meio do campo de configuração `model file` no arquivo `config.json`. Isso ocorre porque o MLX-LM utiliza o `importlib` para carregar e executar o arquivo sem uma verificação de segurança ou portão de confiança. Como o backend MLX opera sem sandboxing, isso resulta na execução de código arbitrário no host Docker como o usuário do Docker Desktop. Um invasor pode disparar isso chamando a API 'model-runner.docker.internal' para baixar um modelo malicioso de um registro OCI controlado e solicitar a inferência. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** sgl-project SGLang versões anteriores a 0.6.0 **Descrição** Um problema de injeção de código existe no HuggingFace Transformer Handler, especificamente na função `get tokenizer()` do arquivo `python/sglang/srt/utils/hf transformers utils.py`. Quando um chamador define a variável `trust remote code` como `False`, o SGLang pode reinvocar silenciosamente o `AutoTokenizer.from pretrained` com `trust remote code` definido como `True` caso o HuggingFace transformers v5 retorne uma instância de TokenizersBackend. Isso anula a configuração de segurança e permite que um repositório de modelos contendo um arquivo `tokenizer.py` malicioso, referenciado via `auto map` no `tokenizer config.json`, execute código Python arbitrário no processo SGLang. Isso afeta tanto o `tokenizer mode="auto"` quanto o `tokenizer mode="slow"`. O ataque pode ser executado remotamente, embora seja caracterizado por alta complexidade e dificuldade de exploração. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o uso da função `get tokenizer()` ou evite carregar tokenizers de repositórios de modelos não confiáveis.

**Name of the Vulnerable Software and Affected Versions** CPython versões 3.14 e posteriores **Description** O módulo profiling.sampling e as capacidades de introspecção do asyncio, especificamente os comandos 'python -m asyncio ps' e 'python -m asyncio pstree', permitem operações de leitura e escrita fora dos limites de endereços em um processo privilegiado. Isso ocorre se o processo privilegiado se conectar a um processo Python malicioso por meio do recurso de depuração remota. A exploração requer conexões persistentes e repetidas ao processo, pois o Address Space Layout Randomization (ASLR)—uma técnica de segurança que organiza aleatoriamente as posições do espaço de endereço de áreas de dados principais de um processo—torna provável que o processo de conexão trave. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.