CVE-2026-8596 in Amazon SageMaker Python SDKinformação

Sumário

de VulDB • 15/05/2026

O armazenamento de informações sensíveis em texto claro no componente ModelBuilder/Serve do Amazon SageMaker Python SDK anterior à versão v2.257.2 e à versão v3.8.0 pode permitir que um ator remoto autenticado extraia a chave de assinatura HMAC das respostas da API do SageMaker e forje assinaturas de integridade válidas para artefatos de modelo especialmente manipulados, alcançando a execução de código nos contêineres de inferência. Este problema requer que um ator remoto autenticado tenha permissões para chamar as APIs de descrição do SageMaker e acesso de gravação no S3 para o caminho do artefato do modelo.

Para remediar este problema, recomenda-se a atualização para o Amazon SageMaker Python SDK v2.257.2 ou v3.8.0 e a reconstrução de quaisquer modelos criados anteriormente com o ModelBuilder utilizando o SDK atualizado.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

AMZN

Reservar

14/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364091

CPE

pronto

EPSS

0.00055

KEV

não

Atividades

muito baixo

Sector

Pharma, Finance, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8596
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8596
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8596/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!