PT-2026-57628 · Akariasai · Self-Rag
Dem00000
·
Publicado
2026-07-13
·
Atualizado
2026-07-13
·
CVE-2026-15535
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
AkariAsai self-rag versões até 1fcdc420e48f50a7d7ab1ece5494221b93252e99
Description
Um problema existe no componente
retrieval lm dentro da função Indexer.deserialize from() do arquivo retrieval lm/src/index.py. Um invasor remoto pode desencadear a desserialização ao manipular o argumento index meta.faiss. A desserialização é o processo de converter um formato serializado (como um fluxo de bytes) de volta em um objeto, o que pode levar à execução de código arbitrário se a entrada não for confiável.Recommendations
Como medida paliativa temporária, restrinja o acesso à função
Indexer.deserialize from() para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.Exploit
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Self-Rag