Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
La vulnerabilidad está presente en la forma en que el módulo de entrenamiento (“Trainer”) de NVIDIA Merlin Transformers4Rec para Linux maneja la deserialización de datos. Un atacante que proporcione datos maliciosos durante el proceso de deserialización podría conseguir ejecutar código arbitrario en el sistema objetivo, causar una condición de denegación de servicio, exponer información sensible o corromper datos. El problema se clasifica como CWE-502: deserialization of untrusted data.
Recursos afectados
-
NVIDIA Merlin Transformers4Rec para Linux — versiones anteriores a las que incluyen la corrección de seguridad correspondiente.
(No siempre hay un listado de paquetes exactos con versiones vulnerables en CVE público; revisa los avisos oficiales de NVIDIA para determinar versiones afectadas)
Solución
-
Actualiza NVIDIA Merlin Transformers4Rec a la versión que incluye el commit 876f19e o posterior, según lo indicado en el boletín de seguridad de NVIDIA.
NVIDIA ha publicado parches en su boletín de seguridad oficial que abordan este CVE, corrigiendo la deserialización insegura en el componente Trainer.
Recomendaciones
- Actualizar inmediatamente el software afectado en todos los entornos Linux donde se utilice Merlin Transformers4Rec.
- Validar y sanitizar cualquier dato entrante antes de deserializarlo.
- Limitar acceso al entorno de entrenamiento solo a usuarios y redes de confianza.
- Monitorear logs en busca de actividad inusual que pueda indicar intentos de explotación.
Referencias