CVE-2026-31214 in ml-engineeringinfo

Zusammenfassung

von VulDB • 14.05.2026

Das Skript torch-checkpoint-shrink.py im ml-engineering-Projekt im Commit 0099885db36a8f06556efe1faf552518852cb1e0 (2025-20-27) enthält eine unsichere Deserialisierungsanfälligkeit (CWE-502). Das Skript verwendet torch.load(), um PyTorch-Checkpoint-Dateien (.pt) zu verarbeiten, ohne den sicherheitsrelevanten Parameter weights_only=True zu aktivieren. Diese Übersehen ermöglicht die Deserialisierung beliebiger Python-Objekte über das pickle-Modul. Ein entfernter Angreifer kann dies ausnutzen, indem er eine bösartig manipulierte Checkpoint-Datei bereitstellt, was zur Ausführung beliebigen Codes im Kontext des Benutzers führt, der das Skript ausführt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

MITRE

Reservieren

09.03.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363059

CPE

bereit

CWE

CWE-502 (bestätigt)

CVSS

6.3 (VulDB)

EPSS

0.00513

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31214
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31214
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31214/

◂ Zurück Übersicht Weiter ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!