Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Lightning AI Studio Vulnerabilidad permitida RCE a través del parámetro de URL oculto
  • Tecnología

Lightning AI Studio Vulnerabilidad permitida RCE a través del parámetro de URL oculto

teknomers 30 de Ocak de 2025 (Last updated: 30 de Ocak de 2025) 3 minutes read
Lightning AI Studio Vulnerabilidad permitida RCE a través del parámetro


30 de enero de 2025Ravie LakshmananVulnerabilidad / seguridad en la nube

Los investigadores de ciberseguridad han revelado un defecto de seguridad crítico en el Lightning Ai Studio Plataforma de desarrollo que, si se explota con éxito, podría permitir la ejecución de código remoto.

La vulnerabilidad, calificada por una puntuación CVSS de 9.4, permite a los “atacantes potencialmente ejecutar comandos arbitrarios con privilegios raíz” al explotar un parámetro de URL oculto, la firma de seguridad de la aplicación Noma dicho En un informe compartido con The Hacker News.

“Este nivel de acceso podría aprovecharse hipotéticamente para una variedad de actividades maliciosas, incluida la extracción de claves sensibles de las cuentas específicas”, dijeron los investigadores Sasi Levi, Alon Tron y Gal Moyal.

El problema está integrado en una pieza de código JavaScript que podría facilitar el acceso sin restricciones al entorno de desarrollo de una víctima, así como ejecutar comandos arbitrarios en un objetivo autenticado en un contexto privilegiado.

Noma dijo que encontró un parámetro oculto llamado “comando” en URL específicas del usuario, por ejemplo, “Lightning.ai/profile_username/Vision-Model/studios/studio_path/terminal?fullScreen=true&commmand=cmvzc …”—que podría usarse para pasar una instrucción codificada base64 para ejecutarse en el host subyacente.

Ciberseguridad

Peor aún, la escapatoria podría armarse para ejecutar comandos que pueden exfiltrar información crítica, como tokens de acceso e información del usuario a un servidor controlado por el atacante.

La explotación exitosa de la vulnerabilidad significa que podría permitir que un adversario ejecute comandos privilegiados arbitrarios y obtenga acceso raíz, recolecte datos confidenciales y manipule el sistema de archivos para crear, eliminar o modificar archivos en el servidor.

Vulnerabilidad de estudio de IA Lightning AI

Todo lo que un atacante necesita para lograr esto es el conocimiento previo de un nombre de usuario de perfil y su estudio de IA Lightning asociado, detalles que son disponible públicamente a través de la galería de plantillas de estudio.

Armado con esta información, el actor de amenaza puede crear un enlace malicioso de tal manera que desencadena la ejecución del código en el estudio identificado con permisos de raíz. Después de la divulgación responsable el 14 de octubre de 2024, el problema del equipo Lightning AI resolvió el problema a partir del 25 de octubre.

“Vulnerabilidades como estas subrayan la importancia de mapear y asegurar las herramientas y sistemas utilizados para construir, capacitar y desplegar modelos de IA debido a su naturaleza sensible”, dijeron los investigadores.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Hace treinta años, el A2 estaba bajo el agua, eso no sucederá pronto
Next: Midtjylland – Fenerbahçe Watch Free | ¿Cuándo es Midtjylland – Fenerbahçe Match, a qué hora y qué canal?

Related Stories

Fin del físico: por qué la ira de los jugadores
  • Tecnología

Fin del físico: por qué la ira de los jugadores no hará temblar a Sony

teknomers 9 de Temmuz de 2026
Copa del Mundo 2026: esta oferta de ExpressVPN Avanzada incluye
  • Tecnología

Copa del Mundo 2026: esta oferta de ExpressVPN Avanzada incluye una oportunidad de ganar entradas

teknomers 9 de Temmuz de 2026
Después de Francia, la Renault Twingo eléctrica comienza a imponerse
  • Tecnología

Después de Francia, la Renault Twingo eléctrica comienza a imponerse en uno de nuestros vecinos

teknomers 9 de Temmuz de 2026

You May Have Missed

  • General

Un aeropuerto de Florida rebautizado en la gloria de Donald Trump, su hijo aterriza primero con el « Trump Force One »

teknomers 9 de Temmuz de 2026
  • General

Lecciones de vida: Proverbio japonés del día: “Entre flores, la flor de cerezo. Entre personas, el… — Lecciones de vida sobre la belleza, el carácter, el coraje, la disciplina, la resiliencia y por qué la verdadera grandeza proviene de la fuerza interior.

teknomers 9 de Temmuz de 2026
Francia-Marruecos: la composición oficial del Marruecos con Brahim Diaz en
  • Deporte

Francia-Marruecos: la composición oficial del Marruecos con Brahim Diaz en punta

teknomers 9 de Temmuz de 2026
  • Cultura

Ahora Francés, George Clooney se incorpora al ranking de las 500 mayores fortunas de Francia.

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.