DeafNews
// 1 ZERO-DAY · 3 CVE · 2 EXPLOIT NELLE ULTIME 24H
Vulnerabilità CVE

CVE-2026-24162: RCE in NVIDIA Transformers4Rec via modelli malevoli

Published: Updated: By DeafSuite team 7 min read Vulnerabilità
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
NVIDIA Transformers4Rec ha una vulnerabilità di deserializzazione (CVE-2026-24162, CVSS 7.8) che permette RCE tramite caricamento modelli ML non attendibili.

NVIDIA ha corretto una vulnerabilità di deserializzazione in Transformers4Rec, libreria open-source per sistemi di recommendation basati su trasformatori, che permette l'esecuzione remota di codice arbitrario. La segnalazione coordinata è stata resa pubblica il 9 giugno 2026 con l'advisory ZDI-26-338, a oltre cinque mesi dalla comunicazione iniziale al vendor avvenuta il 6 gennaio 2026. Il caso riaccende l'attenzione sulla supply chain dei modelli di machine learning: i file di modello pre-addestrati, sempre più frequentemente scaricati da repository pubblici o condivisi tra team, possono trasformarsi in trojan horse con impatto diretto sui sistemi enterprise.

Punti chiave
  • La funzione Model.load in NVIDIA Transformers4Rec deserializza dati utente senza validazione, permettendo esecuzione di codice arbitrario nel processo Python corrente.
  • L'attacco richiede interazione utente: apertura di un file modello malevolo o visita a una pagina web che innesca il caricamento.
  • Il CVE-2026-24162 ha punteggio CVSS 3.1 di 7.8 HIGH, con vettore AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H secondo il record ufficiale su CVE.org.
  • NVIDIA ha rilasciato aggiornamento correttivo; i commit sul branch Main successivi all'11 marzo 2026 non sono vulnerabili.

Il meccanismo: quando la deserializzazione divetta execution

La specifica falla risiede nella funzione Model.load del framework Transformers4Rec. Secondo l'advisory ZDI-26-338, «the issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data». In termini operativi, quando un analista o un'applicazione carica un file modello — formato che può essere mascherato da artefatto ML legittimo — la libreria esegue deserializzazione dei dati senza controlli di integrità o provenienza.

Questa assenza di validazione consente a un attaccante di inserire payload serializzati malevoli all'interno della struttura del modello. Al momento del caricamento, il payload viene deserializzato ed eseguito nel contesto del processo Python corrente, con conseguente compromissione completa della triade CIA: riservatezza, integrità e disponibilità. Il record CVE-2026-24162 conferma esplicitamente che «a successful exploit of this vulnerability might lead to code execution, data tampering, and information disclosure».

«This vulnerability allows remote attackers to execute arbitrary code on affected installations of NVIDIA Transformers4Rec.» — ZDI Advisory ZDI-26-338

Il vettore di attacco: ML come superficie di social engineering

Il fattore che distingue questa vulnerabilità da altre RCE è il requisito di interazione utente coniugato alla natura intrinseca del flusso di lavoro ML. L'advisory specifica che «user interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file». Questo dettaglio trasforma la vulnerabilità tecnica in un problema di security awareness e di governance delle pipeline di machine learning.

Gli scenari di esposizione sono concreti e diversificati. Un analista di dati in e-commerce o fintech può scaricare un modello Transformers4Rec da un repository pubblico o riceverlo via email come presunto benchmark comparativo. Un'applicazione web che consente agli utenti di caricare modelli personalizzati per recommendation — pattern architetturale non raro in piattaforme SaaS — può essere indotta a processare artefatti malevoli. La visita a una pagina malevola che sfrutta un'integrazione browser-based con il framework completa il quadro dei vettori documentati.

La severity e il commit fix: numeri e timeline

Il punteggio CVSS 3.1 di 7.8, classificazione HIGH, deriva da una combinazione significativa: attacco locale (AV:L) ma complessità bassa (AC:L), nessun privilegio richiesto (PR:N), interazione utente necessaria (UI:R), impatto scope unchanged (S:U) ma effetti massimi su riservatezza, integrità e disponibilità (C:H/I:H/A:H). Secondo il record CVE.org, tutti i commit sul branch Main precedenti all'11 marzo 2026 sono affetti; la correzione è disponibile nei commit successivi a quella data.

La timeline di disclosure riflette il processo coordinato tipico del programma ZDI: segnalazione al vendor il 6 gennaio 2026, rilascio pubblico dell'advisory il 9 giugno 2026. Questo intervallo di oltre cinque mesi suggerisce che la complessità della correzione o i cicli di test NVIDIA abbiano richiesto tempo significativo, sebbene il dossier non specifichi i motivi dello slittamento.

Cosa fare adesso

  • Verificare che le installazioni di NVIDIA Transformers4Rec utilizzino commit del branch Main successivi all'11 marzo 2026, data del fix documentata nel record CVE-2026-24162.
  • Implementare validazione di provenienza e integrità per ogni file modello caricato in pipeline di recommendation, includendo firma crittografica o hash verificati indipendentemente.
  • Restringere l'esecuzione di processi Transformers4Rec a sandbox con privilegi minimi, limitando l'impatto di eventuali exploit sui sistemi host.
  • Revisare le applicazioni web che consentono upload di modelli ML da utenti non autenticati o semi-autenticati, valutando la disabilitazione temporanea della funzione fino a conferma di patching.

La supply chain dei modelli come frontiera del rischio enterprise

Questa vulnerabilità segnala un cambiamento qualitativo nel panorama delle minacce. I framework ML non sono più semplici dependency da auditare tramite SCA: diventano essi stessi canali di consegna per payload eseguibili. La consuetudine consolidata — scaricare modelli pre-addestrati da Hugging Face, GitHub o repository interni — assume una connotazione di rischio quando il formato del modello include dati serializzati senza schema rigido o sandboxing obbligatorio.

Per le organizzazioni che operano recommendation system in produzione, l'incidente rappresenta un punto di controllo: la governance dei modelli ML deve raggiungere la stessa maturità della gestione delle patch per sistemi operativi e runtime tradizionali. Il fatto che un singolo file di modello possa compromettere l'intero processo Python — con accesso potenziale a dataset di training, feature store e database di produzione — impone una rivalutazione dei trust boundary nelle pipeline AI.

L'advisory ZDI non documenta exploit in-the-wild né campagne di attacco attive. Tuttavia, la bassa complessità di attacco (AC:L) e l'assenza di privilegi prerequisiti (PR:N) indicano che, una volta pubblici i dettagli tecnici, la barriera per la riproduzione dell'exploit resta contenuta. Il tempo tra disclosure pubblica e eventuale exploitation in massa è, come sempre, incerto e variabile.

Approfondimenti correlati

  • La scoperta AI costa 1.000$, ma triage, fix e installazione no
  • LangGraph: catena di vulnerabilità apre agenti AI a RCE
  • CVE-2026-11645: Chrome V8 sotto attacco, il quinto zero-day del 2026

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. zerodayinitiative.com
  2. cve.org
  3. trendmicro.com