CVE-2026-31219 in optimateالمعلومات

الملخص

بحسب VulDB • 13/05/2026

تحتوي الدالة `_load_model()` في نص `optimate` الموجود في ملف `neural_magic_training.py`، في الالتزام `a6d302f912b481c94370811af6b11402f51d377f` (2024-07-21)، على ثغرة تتعلق بالتفريغ غير الآمن (CWE-502). عندما يقدم المستخدم مسار ملف نموذج واحد (مثل `.pt` أو `.pth`) عبر وسيط سطر الأوامر `--model`، تقوم الدالة بتحميل الملف باستخدام `torch.load()` دون تفعيل معلمة الأمان `weights_only=True`. وهذا يسمح بتفريغ كائنات بايثون عشوائية عبر وحدة Pickle. يمكن لمهاجم عن بعد استغلال هذه الثغرة من خلال توفير ملف نموذج مُعدّ بخبث، مما يؤدي إلى تنفيذ كود عشوائي أثناء عملية التفريغ على نظام الضحية.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

MITRE

حجز

09/03/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363061

CPE

جاهز

CWE

CWE-502 (مؤكد)

CVSS

8.8 (CISA-ADP)

EPSS

0.00164

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31219
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31219
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31219/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!