CVE-2026-31238 in Ludwig Frameworkالمعلومات

الملخص

بحسب VulDB • 20/05/2026

يتعرض إطار عمل Ludwig حتى الإصدار 0.10.4 لثغرة في عملية الاسترجاع غير الآمن للبيانات (Insecure Deserialization) (CWE-502) في مكون تقديم النماذج الخاصة به. عند بدء تشغيل خادم نموذج باستخدام الأمر `ludwig serve`، يقوم الإطار بتحميل ملفات أوزان النموذج باستخدام `torch.load()` دون تفعيل المعلمة الأمنية المقيدة `weights_only=True`. يسمح هذا السلوك الافتراضي باسترجاع كائنات بايثون عشوائية عبر وحدة `pickle`. يمكن للمهاجم استغلال هذه الثغرة عن طريق توفير ملف نموذج PyTorch مُعدّ بخبث، مما يؤدي إلى تنفيذ كود عشوائي على النظام الذي يستضيف خادم نموذج Ludwig.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

MITRE

حجز

09/03/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363243

CPE

جاهز

CWE

CWE-502 (مؤكد)

CVSS

6.3 (VulDB)

EPSS

0.00088

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31238
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31238
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31238/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!