Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-47117 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-06-02 |
| Producent | OpenMed |
| Produkt | OpenMed |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
OpenMed przed wersją 1.5.2 zawiera podatność na zdalne wykonanie kodu (RCE) w ścieżce ładowania modelu privacy-filter dla PII. Dispatcher privacy-filter używał szerokiego dopasowania podciągu (substring) na dostarczonym przez użytkownika parametrze model_name, co pozwalało wartości takiej jak attacker/foo-privacy-filter-bar trafić do ścieżki ładującej modele Hugging Face z trust_remote_code=True. Nieuwierzytelniony atakujący może dostarczyć złośliwe repozytorium modelu zawierające własny kod Transformers poprzez auto_map w config.json lub tokeniz…
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu OpenMed firmy OpenMed. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
