CVE-2024-7804

Nome do Software Vulnerável e Versões Afetadas Versões do pytorch/pytorch <=2.3.1

Descrição Existe uma vulnerabilidade de desserialização no framework RPC do Pytorch, permitindo que um atacante execute código arbitrário remotamente ao enviar um objeto PythonUDF serializado malicioso. Esta falha leva à execução remota de código no nó mestre devido à falta de verificação de segurança durante o processo de desserialização de objetos PythonUDF em pytorch/torch/distributed/rpc/internal.py.

Recomendações Para versões <=2.3.1, atualize para uma versão superior a 2.3.1 para resolver o problema. Como solução temporária, considere desabilitar o uso de objetos PythonUDF no framework torch.distributed.rpc até que uma correção esteja disponível. Restrinja o acesso ao módulo torch.distributed.rpc para minimizar o risco de exploração. Evite usar o objeto PythonUDF no endpoint da API afetado até que o problema seja resolvido.