PyTorch Lightning 2.6.2/2.6.3 供应链投毒事件
摘要
PyTorch Lightning 是一款 AI 模型部署工具。 2026年4月30 日,互联网上披露其发生供应链投毒攻击,其投毒版本(2.6.2、2.6.3)中被插入了如routerruntime.js等恶意代码,受害者安装恶意版本包后,攻击者可借此收集各类敏感信息,控制受害者服务器权限。 影响版本: PyTorch Lightning 2.6.2 PyTorch Lightning 2.6.3
正文
PyTorch Lightning 是一款 AI 模型部署工具。 2026年4月30 日,互联网上披露其发生供应链投毒攻击,其投毒版本(2.6.2、2.6.3)中被插入了如routerruntime.js等恶意代码,受害者安装恶意版本包后,攻击者可借此收集各类敏感信息,控制受害者服务器权限。 影响版本: PyTorch Lightning 2.6.2 PyTorch Lightning 2.6.3 CVE编号: N/A 利用情况: 暂无 补丁情况: 官方补丁 阿里云评分: 8.1 ** 威胁评估 ** 攻击路径: 远程 攻击复杂度: 容易 权限要求: 无需权限 影响范围: 全局影响 EXP成熟度: 未验证 补丁情况: 官方补丁 数据保密性: 数据泄露 数据完整性: 传输被破坏 服务器危害: 服务器失陷 全网数量: N/A ** 解决建议 ** 1、若存在上述版本的PyTorch Lightning包,请立即删除卸载2、云安全中心镜像应用漏洞/agentless应用漏洞检测支持对该供应链风险进行检测。 ** 参考链接 ** - https://semgrep.dev/blog/2026/malicious-dependency-in-pytorch-lightning-used-for-ai-training/
标签
- cve:n/a
- exploit:暂无
扩展字段
{
"aliyun_score": 8.1,
"avd_id": "AVD-2026-1873521",
"cvss_details": {
"EXP成熟度": "未验证",
"全网数量": "N/A",
"影响范围": "全局影响",
"攻击复杂度": "容易",
"攻击路径": "远程",
"数据保密性": "数据泄露",
"数据完整性": "传输被破坏",
"服务器危害": "服务器失陷",
"权限要求": "无需权限",
"补丁情况": "官方补丁"
},
"severity_text": "高危"
}