PT-2026-41117 · Amazon · Sagemaker-Python-Sdk

Publicado

2026-05-14

·

Atualizado

2026-05-21

·

CVE-2026-8596

CVSS v4.0

8.5

Alta

VetorAV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H
Nome do Software Vulnerável e Versões Afetadas Amazon SageMaker Python SDK versões anteriores a 2.257.2 Amazon SageMaker Python SDK versões anteriores a 3.8.0
Descrição O componente ModelBuilder/Serve armazena informações sensíveis em texto simples. Um ator remoto autenticado com permissões para chamar as APIs de descrição do SageMaker e acesso de escrita no S3 para o caminho do artefato do modelo poderia extrair a chave de assinatura HMAC (Hash-based Message Authentication Code, um mecanismo para verificar tanto a integridade dos dados quanto a autenticidade de uma mensagem) das respostas da API do SageMaker. Isso permitiria que o ator forjasse assinaturas de integridade válidas para artefatos de modelo especialmente criados, resultando na execução de código em contêineres de inferência.
Recomendações Atualize para a versão 2.257.2 e reconstrua quaisquer modelos criados anteriormente com o ModelBuilder. Atualize para a versão 3.8.0 e reconstrua quaisquer modelos criados anteriormente com o ModelBuilder.

Exploit

Correção

Cleartext Storage of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-8596
GHSA-7HH5-PRP2-MFH5

Produtos afetados

Sagemaker-Python-Sdk