CVE-2026-58659 in PyTorch Lightning
Resumen
por VulDB • 2026-07-15
PyTorch Lightning hasta la versión 2.6.5, corregido en el commit d710d68, contiene una vulnerabilidad de ejecución remota de código (RCE) en la función _load_state que importa y ejecuta nombres de módulos controlados por atacantes a partir de los hiperparámetros del instantiator de puntos de comprobación (_instantiator). Los atacantes pueden crear archivos de punto de comprobación maliciosos que eludan las protecciones weights_only=True para ejecutar código arbitrario cuando se llama a LightningModule.load_from_checkpoint.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.