PT-2026-51062 · Stanza+1 · Stanza+1
Publicado
2026-06-19
·
Atualizado
2026-06-19
·
CVE-2026-54499
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Stanza versão 1.12.0
Description
Existe um problema onde o software tenta carregar arquivos de checkpoint do PyTorch usando um método seguro, mas retorna automaticamente para um processo de desserialização inseguro quando ocorre um
pickle.UnpicklingError. Como esse erro pode ser disparado por um invasor ao incluir um global de pickle não suportado em um arquivo .pt, o sistema invoca o desserializador pickle completo, permitindo a execução de código arbitrário. Isso ocorre dentro da API de carregamento de pretrain do Stanza ao carregar arquivos de pretrain ou modelos maliciosos colocados no disco via comprometimento da cadeia de suprimentos, repositórios envenenados ou caches compartilhados.Detalhes técnicos incluem os seguintes componentes vulneráveis:
- API Endpoints:
stanza.models.common.foundation cache.load pretrain(path) - Funções Vulneráveis:
Pretrain.load(), e carregadores emstanza/models/common/pretrain.py,stanza/models/coref/model.py,stanza/models/classifiers/trainer.py,stanza/models/constituency/base trainer.pyestanza/models/lemma classifier/base model.py.
Recommendations
Para a versão 1.12.0, remova o mecanismo de fallback inseguro nos carregadores afetados para que o sistema falhe ao fechar quando
weights only=True levantar um UnpicklingError. Se arquivos legados contendo NumPy precisarem de suporte, use a API add safe globals() para permitir tipos específicos necessários em vez de desativar as verificações de segurança. Como mitigação temporária, restrinja o acesso ao cache de modelos e evite carregar arquivos de pretrain de fontes não confiáveis.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pytorch
Stanza