Plataforma
python
Componente
megatron-lm
Corregido en
0.14.0
La vulnerabilidad CVE-2026-24149 afecta a NVIDIA Megatron-LM en versiones desde 0 hasta 0.14.0. Se trata de una inyección de código causada por un script susceptible a datos maliciosos, lo que puede permitir la ejecución de código no autorizado. Esta falla representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los sistemas que utilizan Megatron-LM, y se recomienda actualizar a la versión 0.14.0 para solucionar el problema.
Un atacante podría explotar esta vulnerabilidad para inyectar código malicioso en el sistema, lo que podría resultar en la ejecución de comandos arbitrarios con los privilegios del proceso Megatron-LM. Esto podría llevar a la escalada de privilegios, permitiendo al atacante obtener control sobre el sistema. Además, la divulgación de información sensible, la manipulación de datos y la interrupción del servicio son posibles consecuencias. La naturaleza de la inyección de código implica que el atacante podría potencialmente comprometer la infraestructura subyacente si Megatron-LM se ejecuta en un entorno con acceso a otros recursos.
La vulnerabilidad CVE-2026-24149 fue publicada el 3 de febrero de 2026. No se ha añadido a KEV ni se ha reportado una puntuación EPSS. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección de código sugiere que podría ser relativamente fácil de explotar una vez que se comprenden los detalles del script vulnerable.
Organizations and researchers utilizing NVIDIA Megatron-LM for large language model training are at risk. This includes those deploying Megatron-LM in cloud environments, on-premise servers, or within development pipelines. Specifically, those using older, unpatched versions (0.0 - 0.14.0) are particularly vulnerable.
• python / supply-chain:
import os
import subprocess
def check_megatron_version():
try:
result = subprocess.check_output(['python', '-c', 'import megatron_lm; print(megatron_lm.__version__)'], stderr=subprocess.STDOUT)
version = result.decode('utf-8').strip()
if float(version) < 0.14:
print(f"Vulnerability detected: Megatron-LM version is {version}, upgrade required.")
else:
print(f"Megatron-LM version is {version}, no vulnerability detected.")
except FileNotFoundError:
print("Megatron-LM not found.")
except Exception as e:
print(f"Error checking version: {e}")
check_megatron_version()disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-24149 es actualizar NVIDIA Megatron-LM a la versión 0.14.0 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente todas las entradas de datos que se procesan por el script vulnerable, implementando validación y sanitización robustas para prevenir la inyección de código. Aunque no hay reglas WAF específicas disponibles, se puede implementar un filtro de entrada que detecte patrones sospechosos en los datos que se envían al script. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta ejecutando pruebas de seguridad y verificando la integridad de los archivos del sistema.
Actualice la biblioteca Megatron-LM a la versión 0.14.0 o posterior. Esto solucionará la vulnerabilidad de inyección de código. Puede actualizar usando el gestor de paquetes pip: `pip install megatron-lm --upgrade`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24149 is a code injection vulnerability affecting NVIDIA Megatron-LM versions 0.0 through 0.14.0, allowing attackers to potentially execute arbitrary code.
You are affected if you are using NVIDIA Megatron-LM versions 0.0 - 0.14.0. Upgrade to version 0.14.0 or later to mitigate the risk.
Upgrade to NVIDIA Megatron-LM version 0.14.0 or later. Implement input validation as a temporary workaround if upgrading is not immediately possible.
There is currently no indication of active exploitation in the wild, but proactive patching is recommended.
Refer to the NVIDIA security bulletin for detailed information and updates: [https://nvidia.github.io/security-bulletins/](https://nvidia.github.io/security-bulletins/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.