CVE-2026-25874

Nome do Software Vulnerável e Versões Afetadas LeRobot versões anteriores a 0.6.0

Description Um problema de desserialização insegura existe no pipeline de inferência assíncrona da plataforma de robótica LeRobot. O software utiliza a função pickle.loads() para desserializar dados recebidos através de canais gRPC não autenticados e sem TLS nos componentes do servidor de políticas e do cliente robô. Um invasor não autenticado com acesso à rede pode conseguir a execução de código arbitrário no servidor ou cliente, enviando um payload pickle especialmente elaborado através das chamadas gRPC 'SendPolicyInstructions', 'SendObservations' ou 'GetActions'. Esta falha afeta especificamente o componente PolicyServer, permitindo potencialmente que o invasor execute comandos do sistema operacional na máquina hospedeira, roube dados sensíveis, como chaves de API e credenciais SSH, ou comprometa robôs conectados e sistemas físicos.

Recommendations Atualize para a versão 0.6.0 assim que estiver disponível. Como medida paliativa temporária, restrinja o acesso de rede à porta do PolicyServer apenas a fontes confiáveis. Evite usar as chamadas gRPC 'SendPolicyInstructions', 'SendObservations' e 'GetActions' através de canais não autenticados e sem TLS.