3 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a pickle.
Três falhas críticas em Picklescan permitem execução de código ao carregar modelos PyTorch não confiáveis, contornando proteções do scanner; recomenda-se isolar carregamentos e validar proveniência de modelos.
Pesquisadores descobriram a família ShadowMQ: RCEs críticos em engines de inference que surgem da combinação insegura de ZeroMQ e desserialização via pickle. CVEs afetam Meta Llama Stack, vLLM, NVIDIA TensorRT-LLM e outros; Microsoft e SGLang têm correções incompletas.
Pesquisadores identificaram vulnerabilidades críticas de execução remota de código em motores de inference de IA usados por Meta, Nvidia, Microsoft e projetos PyTorch como vLLM e SGLang. O problema foi atribuído ao uso inseguro de ZeroMQ combinado com desserialização via pickle, mas as fontes não detalham CVEs, versões afetadas ou mitigação oficial.