PT-2026-40122 · Pypi · Imgaug
Publicado
2026-05-12
·
Atualizado
2026-05-12
·
CVE-2026-31235
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
imgaug versões anteriores a 0.4.0
Description
Ocorre uma desserialização insegura na classe
BackgroundAugmenter dentro do módulo multicore.py. A função augment images worker() utiliza o módulo pickle do Python para desserializar dados de uma fila de multiprocessamento sem verificações de segurança. Um invasor capaz de influenciar os dados da fila pode fornecer um payload pickle malicioso que, ao ser desserializado, permite a execução de código arbitrário no contexto do processo trabalhador.Recommendations
Atualize para uma versão posterior a 0.4.0.
Como medida paliativa temporária, restrinja o acesso à classe
BackgroundAugmenter ou à função augment images worker() para minimizar o risco de exploração.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Imgaug