Amazon SageMaker Python SDK до версии 3.1.1 или версии 2.256.0 отключает проверку сертификата TLS для HTTPS-подключений, выполняемых службой при импорте модели Triton Python, что неправильно позволяет выполнять запросы с недействительными и самозаверяющими сертификатами.
Показать оригинальное описание (EN)
Amazon SageMaker Python SDK before v3.1.1 or v2.256.0 disables TLS certificate verification for HTTPS connections made by the service when a Triton Python model is imported, incorrectly allowing for requests with invalid and self-signed certificates to succeed.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://aws.amazon.com/security/security-bulletins/2026-004-AWS/
ff89ba41-3aa1-4d27-914a-91399e9639e5
https://github.com/aws/sagemaker-python-sdk/releases/tag/v2.256.0
ff89ba41-3aa1-4d27-914a-91399e9639e5
https://github.com/aws/sagemaker-python-sdk/releases/tag/v3.1.1
ff89ba41-3aa1-4d27-914a-91399e9639e5
https://github.com/aws/sagemaker-python-sdk/security/advisories/GHSA-62rc-f4v9-…
ff89ba41-3aa1-4d27-914a-91399e9639e5