Penjelasan teknis
PyTorch Lightning, kerangka kerja pembelajaran mendalam yang digunakan untuk pretraining dan fine-tuning model AI, memperkenalkan fungsionalitas dalam versi 2.6.2 dan 2.6.3 yang konsisten dengan mekanisme credential harvesting. NVD menerbitkan CVE-2026-44484 pada 14 Mei 2026, dengan skor dasar CVSS 4.0 sebesar 9,3 (tingkat keparahan Kritis). GitHub Security Advisory GHSA-w37p-236h-pfx3 mengonfirmasi masalah ini.
Vektor serangan
Vektor serangan spesifik tidak sepenuhnya terperinci dalam entri NVD, namun deskripsi 'fungsionalitas yang konsisten dengan mekanisme credential harvesting' menunjukkan bahwa versi yang terpengaruh mungkin mengumpulkan atau mengeksfiltrasi kredensial selama pelatihan model atau inisialisasi kerangka kerja. Organisasi yang menggunakan PyTorch Lightning untuk pelatihan model produksi atau penelitian harus menganggap bahwa kredensial yang dapat diakses oleh lingkungan pelatihan mungkin telah terbuka.
Sistem yang terdampak
Versi PyTorch Lightning 2.6.2 dan 2.6.3. Organisasi yang menjalankan pipeline pelatihan model AI, platform MLOps, atau lingkungan penelitian menggunakan versi ini harus melakukan audit untuk paparan kredensial. Lingkungan pelatihan berbasis cloud dengan akses ke akun layanan, kunci API, atau penyimpanan rahasia berada pada risiko khusus.
Mitigasi
Segera tingkatkan PyTorch Lightning ke versi yang sudah diperbaiki (detail versi belum ditentukan dalam entri NVD hingga 14 Mei 2026; periksa advisory GitHub GHSA-w37p-236h-pfx3 untuk panduan remediasi). Putar semua kredensial yang dapat diakses di lingkungan tempat PyTorch Lightning 2.6.2 atau 2.6.3 dieksekusi, termasuk kredensial cloud IAM, kunci API, dan token penyimpanan-rahasia. Audit log pekerjaan pelatihan dan konfigurasi lingkungan untuk bukti eksfiltrasi kredensial.