Kerentanan  ·  2026-07-15

NVIDIA TensorRT-LLM — Multiple Deserialization, IPC, dan Orchestrator Vulnerabilities

KerentananHigh dampakGlobalCVE-2026-24233
NVD mempublikasikan cluster TensorRT-LLM CVEs pada 2026-07-14 mencakup insecure deserialization dalam model-weight loading, inter-process communication, tensor deserialization, dan komponen orchestrator disaggregated yang memungkinkan unauthenticated read/write/delete dari internal cluster state.
TensorRT-LLM adalah flagship high-performance LLM inference stack NVIDIA yang digunakan secara luas dalam GPU-backed production AI serving; deserialization dan orchestrator-state vulnerabilities di dalamnya mengancam confidentiality, integrity, dan availability dari production model-serving clusters.
Local, unauthenticated attacker dapat memicu deserialization dari untrusted data melalui restricted unpickler yang digunakan untuk model weight loading, berpotensi menyebabkan code execution, privilege escalation, atau DoS; sibling CVEs mencakup IPC-layer deserialization, tensor deserialization heap overflow, dan unauthenticated read/write/delete dari internal cluster state melalui disaggregated orchestrator's FastAPI server.
NVIDIA TensorRT-LLM untuk Linux (restricted unpickler / model weight deserialization); related CVE-2026-47472 (IPC layer), CVE-2026-47471 (tensor deserialization heap overflow), CVE-2026-47473 (write-what-where), CVE-2026-24229 (disaggregated orchestrator FastAPI server)
Terapkan NVIDIA TensorRT-LLM security updates sesuai advisory keamanan NVIDIA yang direferensikan dari NVD entries; batasi local/same-user access ke TRTLLM servers dan disaggregated orchestrator endpoints.
NVD - CVE-2026-24233
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →