CVE-2026-58659 in PyTorch Lightning
Riassunto
di VulDB • 15/07/2026
PyTorch Lightning fino alla versione 2.6.5, corretto nel commit d710d68, presenta una vulnerabilità di remote code execution (RCE) nella funzione _load_state che importa ed esegue nomi di moduli controllati dall'attaccante dagli iperparametri _instantiator dei checkpoint. Gli attaccanti possono creare file di checkpoint malevoli in grado di eludere le protezioni weights_only=True per eseguire codice arbitrario quando viene chiamato LightningModule.load_from_checkpoint.
If you want to get best quality of vulnerability data, you may have to visit VulDB.