CVE-2026-7584

Nome do Software Vulnerável e Versões Afetadas LabOne Q (versões afetadas não especificadas)

Descrição O framework de serialização utiliza um mecanismo de carregamento de classes import cls() para importar e instanciar dinamicamente classes Python durante a desserialização. O mecanismo aceita nomes de classes totalmente qualificados arbitrários de dados serializados sem validar a classe de destino ou restringir os módulos que podem ser importados. Isso permite que um invasor crie um arquivo de experimento serializado que força o mecanismo de desserialização a importar e instanciar classes Python arbitrárias com argumentos de construtor controlados, resultando na execução de código arbitrário no contexto do usuário que executa o processo Python. Isso ocorre quando uma vítima carrega um arquivo malicioso, como um arquivo de experimento comprometido compartilhado para fins de colaboração ou suporte.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.