FedML-AI FedML gRPC server grpc_server.py sendMessage デシリアライゼーション

FedML-AI FedMLのバージョン0.8.9までの脆弱性が特定されました。具体的には、gRPCサーバーコンポーネントのgrpc_server.pyファイルのsendMessage関数に、デシリアライゼーションの脆弱性が存在します。この脆弱性を悪用すると、リモートの攻撃者が悪意のあるメッセージを送信することで、影響を受けるシステム上で任意のコードを実行できる可能性があります。この脆弱性の深刻度はCVSS 7.3と評価されており、中程度から高いリスクを示しています。ベンダーが早期の開示通知に反応しなかったことは、状況を悪化させ、公式な修正プログラムなしにユーザーを脆弱な状態にしています。攻撃が成功した場合、FedMLデータとシステムの機密性、完全性、可用性が損なわれる可能性があります。

Organizations utilizing FedML for machine learning tasks, particularly those deploying it in cloud environments or exposing it to external networks, are at significant risk. Environments with limited security controls or those relying on older, unpatched versions of FedML are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted.

• python / server:

import os
import subprocess
# Check for the vulnerable file
if os.path.exists('/path/to/fedml/grpc_server.py'): # Replace with actual path
    try:
        result = subprocess.run(['grep', '-i', 'sendMessage', '/path/to/fedml/grpc_server.py'], capture_output=True, text=True, check=True)
        if 'sendMessage' in result.stdout:
            print('Vulnerable file detected.')
        else:
            print('sendMessage function not found.')
    except subprocess.CalledProcessError as e:
        print(f'Error checking file: {e}')
else:
    print('FedML not installed.')

• generic web:

curl -I <fedml_grpc_endpoint> # Check for unusual headers or content types related to serialization

1. 2026-04-05Disclosure

   disclosure

1. 予約済み2026-04-04
2. 公開日2026-04-05
3. 更新日2026-04-06
4. EPSS 更新日2026-04-12

ベンダーが修正プログラムを提供していないため、直近の軽減策は、更新プログラムがリリースされるまでFedML-AI FedMLの使用を避けることです。プラットフォームの使用が不可欠な場合は、ネットワークの分離、ネットワークトラフィックの不審な活動の監視、システムリソースへのアクセスを制限するための厳格なセキュリティポリシーの施行など、追加のセキュリティ対策を実装することをお勧めします。システムを最新のセキュリティパッチで常に最新の状態に保ち、潜在的な脆弱性を特定して対処するために定期的なセキュリティ監査を実施することが重要です。可能であれば、より安全な代替ソリューションへの移行を検討してください。