CVE-2024-10190

Nome do Software Vulnerável e Versões Afetadas Versões do Horovod até e incluindo a v0.28.1

Descrição O problema ocorre devido à manipulação inadequada de dados codificados em base64 no ElasticRendezvousHandler, uma subclasse de KVStoreHandler. Especificamente, o método put value em ElasticRendezvousHandler chama codec.loads base64(value), o que eventualmente invoca cloudpickle.loads(decoded). Isso permite que um atacante envie um objeto pickle malicioso via uma requisição PUT, resultando em execução arbitrária de código no servidor.

Recomendações Para versões do Horovod até e incluindo a v0.28.1, considere desativar o ElasticRendezvousHandler ou restringir o acesso ao método put value até que uma correção esteja disponível. Evite usar a função codec.loads base64(value) na classe afetada ElasticRendezvousHandler para minimizar o risco de exploração.