CVE-2026-58659 in PyTorch Lightning
요약
\~에 의해 VulDB • 2026. 07. 16.
PyTorch Lightning 2.6.5 이전 버전(커밋 d710d68에서 수정됨)은 _load_state 함수에 원격 코드 실행(RCE) 취약점이 있습니다. 이 취약점은 체크포인트의 _instantiator 하이퍼파라미터로부터 공격자가 제어하는 모듈 이름을 가져와서 실행합니다. 공격자는 weights_only=True 보호 장치를 우회할 수 있는 악성 체크포인트 파일을 작성하여, LightningModule.load_from_checkpoint가 호출될 때 임의의 코드를 실행할 수 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.