HIGHCVE-2026-5536CVSS 7.3

FedML-AI FedML gRPC 服务器 grpc_server.py sendMessage 反序列化漏洞

Q: CVE-2026-5536 是否正在被积极利用？

是的，已通知供应商，但尚未做出响应。

平台

python

组件

fedml

修复版本

0.8.1

0.8.2

0.8.3

0.8.4

0.8.5

0.8.6

0.8.7

0.8.8

0.8.9

0.8.10

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5536 是 FedML-AI FedML 在 0.8.0 到 0.8.9 版本中发现的不安全序列化漏洞。该漏洞允许攻击者通过远程利用 grpc_server.py 文件的 sendMessage 函数进行恶意操作，可能导致严重的安全影响。目前，供应商未响应安全报告，且尚未发布官方修复补丁。

影响与攻击场景

在FedML-AI FedML的0.8.9版本及更早版本中，已发现一种反序列化漏洞，具体位于gRPC服务器组件的grpc_server.py文件的sendMessage函数中。该漏洞允许远程攻击者通过发送恶意构造的消息，在受影响的系统上执行任意代码。该漏洞的严重程度评分为CVSS 7.3，表明存在中等至高风险。供应商对早期披露通知的未响应加剧了这一情况，使用户在没有官方修复的情况下暴露于风险之中。攻击成功可能导致FedML数据和系统的机密性、完整性和可用性受损。

利用背景

该漏洞位于gRPC服务器的sendMessage函数中，允许远程攻击者发送专门构造的消息，从而触发恶意对象的反序列化。sendMessage函数中缺乏输入验证使得漏洞利用变得容易。攻击者可能利用此漏洞在服务器上执行任意命令、访问敏感数据或完全控制系统。此漏洞的远程性质意味着攻击者不需要访问受影响的系统。

哪些人处于风险中翻译中…

Organizations utilizing FedML for machine learning tasks, particularly those deploying it in cloud environments or exposing it to external networks, are at significant risk. Environments with limited security controls or those relying on older, unpatched versions of FedML are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted.

检测步骤翻译中…

• python / server:

import os
import subprocess
# Check for the vulnerable file
if os.path.exists('/path/to/fedml/grpc_server.py'): # Replace with actual path
    try:
        result = subprocess.run(['grep', '-i', 'sendMessage', '/path/to/fedml/grpc_server.py'], capture_output=True, text=True, check=True)
        if 'sendMessage' in result.stdout:
            print('Vulnerable file detected.')
        else:
            print('sendMessage function not found.')
    except subprocess.CalledProcessError as e:
        print(f'Error checking file: {e}')
else:
    print('FedML not installed.')

• generic web:

curl -I <fedml_grpc_endpoint> # Check for unusual headers or content types related to serialization

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (13% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件fedml

供应商FedML-AI

影响范围修复版本

0.8.0 – 0.8.00.8.1

0.8.1 – 0.8.10.8.2

0.8.2 – 0.8.20.8.3

0.8.3 – 0.8.30.8.4

0.8.4 – 0.8.40.8.5

0.8.5 – 0.8.50.8.6

0.8.6 – 0.8.60.8.7

0.8.7 – 0.8.70.8.8

0.8.8 – 0.8.80.8.9

弱点分类 (CWE)

CWE-502 CWE-20

时间线

已保留2026-04-04
发布日期2026-04-05
修改日期2026-04-06
EPSS 更新日期2026-04-12

未修复 — 披露已49天

缓解措施和替代方案

鉴于供应商尚未提供解决方案，当前的缓解措施是避免使用FedML-AI FedML，直到发布更新。如果必须使用该平台，建议实施额外的安全措施，例如网络隔离、监控网络流量以检测可疑活动以及实施严格的安全策略以限制对系统资源的访问。保持系统使用最新的安全补丁并定期进行安全审计以识别和解决潜在漏洞至关重要。如果可行，请考虑迁移到更安全的替代方案。

修复方法翻译中…

Actualice a una versión de FedML posterior a la 0.8.9 para mitigar la vulnerabilidad de deserialización en el servidor gRPC.  Revise el código para identificar y eliminar cualquier deserialización insegura.  Implemente validación de entrada robusta para prevenir la inyección de datos maliciosos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5536 是什么 — FedML 中的 Insecure Deserialization？

反序列化是将存储或传输的数据转换为程序可以读取的格式的过程。当程序在没有适当验证的情况下反序列化不受信任的数据时，会发生反序列化漏洞，从而允许攻击者注入恶意代码。

FedML 中的 CVE-2026-5536 是否会影响我？

如果您使用的是FedML-AI FedML 0.8.9版本或更早版本，则很可能受到影响。请参阅FedML文档以获取更多信息。

如何修复 FedML 中的 CVE-2026-5536？

实施缓解措施，例如网络隔离和监控网络流量。

CVE-2026-5536 是否正在被积极利用？