CVE-2026-31238

Nome do Software Vulnerável e Versões Afetadas Ludwig framework versões anteriores a 0.10.5

Descrição O componente de serviço de modelo está sujeito a uma desserialização insegura. Ao iniciar um servidor de modelo através do comando ludwig serve, a estrutura utiliza a função torch.load() para carregar arquivos de pesos do modelo sem que o parâmetro weights only=True esteja habilitado. Isso permite a desserialização de objetos Python arbitrários por meio do módulo pickle, que é o processo de converter um fluxo de bytes de volta em um objeto. Um invasor pode fornecer um arquivo de modelo PyTorch maliciosamente manipulado para alcançar a execução de código arbitrário no sistema anfitrião.

Recomendações Atualize para a versão 0.10.5 ou posterior.