CVE-2026-31234

Nome do Software Vulnerável e Versões Afetadas Horovod versões anteriores a 0.28.2

Description O componente de servidor HTTP KVStore, utilizado para coordenação de tarefas distribuídas, carece de controles de autenticação e autorização. Isso permite que um invasor remoto escreva dados arbitrários usando requisições HTTP PUT. Quando um worker lê esses dados via HTTP GET, ele utiliza a função cloudpickle.loads() para desserializar os dados sem verificar sua origem ou integridade. Um invasor pode enviar um payload de pickle malicioso para o servidor que, ao ser desserializado pelo worker vítima, leva à execução remota de código.

Recommendations Atualize para a versão 0.28.2 ou posterior.