"value":"A vulnerability in the PyTorch's torch.distributed.rpc framework, specifically in versions prior to 2.2.2, allows for remote code execution (RCE). The framework, which is used in distributed training scenarios, does not properly verify the functions being called during RPC (Remote Procedure Call) operations. This oversight permits attackers to execute arbitrary commands by leveraging built-in Python functions such as eval during multi-cpu RPC communication. The vulnerability arises from the lack of restriction on function calls when a worker node serializes and sends a PythonUDF (User Defined Function) to the master node, which then deserializes and executes the function without validation. This flaw can be exploited to compromise master nodes initiating distributed training, potentially leading to the theft of sensitive AI-related data."
"value":"Una vulnerabilidad en el framework torch.distributed.rpc de PyTorch, espec\u00edficamente en versiones anteriores a la 2.2.2, permite la ejecuci\u00f3n remota de c\u00f3digo (RCE). El framework, que se utiliza en escenarios de capacitaci\u00f3n distribuida, no verifica adecuadamente las funciones que se llaman durante las operaciones RPC (llamada a procedimiento remoto). Esta supervisi\u00f3n permite a los atacantes ejecutar comandos arbitrarios aprovechando las funciones integradas de Python, como la evaluaci\u00f3n, durante la comunicaci\u00f3n RPC entre m\u00faltiples CPU. La vulnerabilidad surge de la falta de restricci\u00f3n en las llamadas a funciones cuando un nodo trabajador serializa y env\u00eda una PythonUDF (funci\u00f3n definida por el usuario) al nodo maestro, que luego deserializa y ejecuta la funci\u00f3n sin validaci\u00f3n. Esta falla puede explotarse para comprometer los nodos maestros que inician el entrenamiento distribuido, lo que podr\u00eda conducir al robo de datos confidenciales relacionados con la IA."
