CVE-2026-31235 in imgaug Library
요약
\~에 의해 VulDB • 2026. 05. 13.
imgaug 라이브러리 0.4.0 버전 이전에는 multicore.py 모듈 내의 BackgroundAugmenter 클래스에서 부정한 역직렬화(Insecure Deserialization) 취약점이 존재합니다. 해당 클래스는 _augment_images_worker() 메서드에서 multiprocessing 큐를 통해 수신된 데이터를 Python의 pickle 모듈을 사용하여 역직렬화할 때, 어떠한 안전성 검사도 수행하지 않습니다. 이 큐에 삽입되는 데이터를 조작할 수 있는 공격자(예: 소셜 엔지니어링, 악성 입력 스크립트 또는 침해된 공유 큐를 통해)는 악성 pickle 페이로드를 제공할 수 있습니다. 역직렬화될 때 이 페이로드는 워커 프로세스의 컨텍스트에서 임의의 코드를 실행할 수 있으며, 배포 시나리오에 따라 원격 또는 로컬 코드 실행(RCE/LCE)으로 이어질 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.