4 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a deserialization.
CVE-2025-40551 (SolarWinds Web Help Desk) permite RCE sem autenticação; Shadowserver mapeou ~170 instâncias expostas, CISA incluiu a falha no catálogo KEV e SolarWinds lançou a versão 2026.1.
Uma falha crítica (CVE-2025-55182, CVSS 10.0) em React Server Components permite execução remota de código sem autenticação ao explorar a forma como o framework decodifica payloads enviados a endpoints de Server Functions. A divulgação veio do React Team; a matéria não detalha versões corrigidas.
Três falhas críticas em Picklescan permitem execução de código ao carregar modelos PyTorch não confiáveis, contornando proteções do scanner; recomenda-se isolar carregamentos e validar proveniência de modelos.
A vulnerabilidade CVE-2025-62164 em vLLM (>= 0.10.2) permite corrupção de memória e potencial execução remota via desserialização de tensores em torch.load(); CVSS 8.8 — correção disponível em PR #27204.