Kritična ranjivost u LeRobotu (Hugging Face): neautentifikovano RCE putem pickle

Kolege, želim skrenuti pažnju u oblasti sajberbezbednosti: otkrivena je kritična ranjivost u LeRobotu (Hugging Face) — CVE-2026-25874 (CVSS 9.3).
Šta je bitno:
- Ranjivost u async inference (PolicyServer i robot client): unsafe pickle.loads() deserializuje podatke primljene preko neautentifikovanih gRPC konekcija bez TLS.
- Napadač može poslati crafted payload putem SendPolicyInstructions / SendObservations / GetActions i izvesti RCE.
- Potvrđeno u LeRobotu 0.4.3; fiks planiran za 0.6.0.
Zašto je važno: servisi za inferencu često rade sa povišenim privilegijama — rizik krađe ključeva, kompromitacije hostova i ugrožavanja fizičke bezbednosti.
Koje operativne korake biste Vi preduzeli odmah?
#SajberBezbednost #Ranjivosti #OtvoreniKod #VestackaInteligencija


Poslednji komentari
Još nema komentara.