CVE-2026-26210

Nome do Software Vulnerável e Versões Afetadas KTransformers versões anteriores a 0.5.4

Descrição No modo de backend balance serve, o servidor RPC do agendador vincula um socket ZMQ ROUTER a todas as interfaces sem autenticação. O servidor utiliza a função pickle.loads() para desserializar mensagens recebidas sem a validação adequada. Isso permite que um invasor envie um payload pickle especialmente criado para o socket ZMQ exposto, resultando na execução de código arbitrário no servidor com os privilégios do processo ktransformers.

Recomendações Atualize para uma versão posterior a 0.5.3. Como mitigação temporária, restrinja o acesso ao socket ZMQ ou evite usar o modo de backend balance serve até que a atualização seja aplicada.