PT-2026-41117 · Amazon · Sagemaker-Python-Sdk
Publicado
2026-05-14
·
Atualizado
2026-05-21
·
CVE-2026-8596
CVSS v4.0
8.5
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
Amazon SageMaker Python SDK versões anteriores a 2.257.2
Amazon SageMaker Python SDK versões anteriores a 3.8.0
Descrição
O componente ModelBuilder/Serve armazena informações sensíveis em texto simples. Um ator remoto autenticado com permissões para chamar as APIs de descrição do SageMaker e acesso de escrita no S3 para o caminho do artefato do modelo poderia extrair a chave de assinatura HMAC (Hash-based Message Authentication Code, um mecanismo para verificar tanto a integridade dos dados quanto a autenticidade de uma mensagem) das respostas da API do SageMaker. Isso permitiria que o ator forjasse assinaturas de integridade válidas para artefatos de modelo especialmente criados, resultando na execução de código em contêineres de inferência.
Recomendações
Atualize para a versão 2.257.2 e reconstrua quaisquer modelos criados anteriormente com o ModelBuilder.
Atualize para a versão 3.8.0 e reconstrua quaisquer modelos criados anteriormente com o ModelBuilder.
Exploit
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sagemaker-Python-Sdk