CVE-2026-8596 in Amazon SageMaker Python SDK信息

摘要

由 VulDB • 2026-05-14

Amazon SageMaker Python SDK 中 ModelBuilder/Serve 组件在 v2.257.2 之前版本以及 v3 在 v3.8.0 之前版本中存在敏感信息明文存储漏洞。该漏洞可能允许远程经过身份验证的攻击者从 SageMaker API 响应中提取 HMAC 签名密钥，并为精心构造的模型工件伪造有效的完整性签名，从而在推理容器中实现代码执行。此问题要求攻击者具备远程经过身份验证的权限，能够调用 SageMaker describe API，并对模型工件路径拥有 S3 写入权限。

为修复此问题，建议升级至 Amazon SageMaker Python SDK v2.257.2 或 v3.8.0，并使用更新后的 SDK 重新构建此前使用 ModelBuilder 创建的任何模型。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

AMZN

预定

2026-05-14

披露

2026-05-15

管理

已接受

条目

VDB-364091

CPE

准备好

CWE

CWE-312 (已确认)

CVSS

7.2 (CNA)

EPSS

0.00055

KEV

否

活动

非常低

部门

Telecommunication, Education, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8596
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8596
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8596/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!