Penjelasan teknis
PyTorch Lightning, kerangka kerja pembelajaran mendalam yang digunakan untuk pra-pelatihan dan penyesuaian model AI, memperkenalkan fungsionalitas dalam versi 2.6.2 dan 2.6.3 yang konsisten dengan mekanisme pemanenan kredensial. NVD menerbitkan CVE-2026-44484 pada 14 Mei 2026, dengan skor dasar CVSS 4.0 sebesar 9.3 (tingkat keparahan Kritis). Penasihat Keamanan GitHub GHSA-w37p-236h-pfx3 mengonfirmasi masalah tersebut.
Vektor serangan
Vektor serangan spesifik tidak sepenuhnya terperinci dalam entri NVD, tetapi deskripsi 'fungsionalitas yang konsisten dengan mekanisme pemanenan kredensial' menunjukkan bahwa versi yang terpengaruh dapat mengumpulkan atau mengeksfiltrasikan kredensial selama pelatihan model atau inisialisasi kerangka kerja. Organisasi yang menggunakan PyTorch Lightning untuk pelatihan model produksi atau penelitian harus mengasumsikan bahwa kredensial yang dapat diakses oleh lingkungan pelatihan mungkin telah terbuka.
Sistem yang terdampak
Versi PyTorch Lightning 2.6.2 dan 2.6.3. Organisasi yang menjalankan saluran pipa pelatihan model AI, platform MLOps, atau lingkungan penelitian menggunakan versi-versi ini harus melakukan audit untuk pemaparan kredensial. Lingkungan pelatihan berbasis cloud dengan akses ke akun layanan, kunci API, atau penyimpanan rahasia berada pada risiko khusus.
Mitigasi
Segera upgrade PyTorch Lightning ke versi yang sudah diperbaiki (detail versi belum ditentukan dalam entri NVD per 14 Mei 2026; periksa penasihat GitHub GHSA-w37p-236h-pfx3 untuk panduan remediasi). Putar semua kredensial yang dapat diakses di lingkungan tempat PyTorch Lightning 2.6.2 atau 2.6.3 dijalankan, termasuk kredensial IAM cloud, kunci API, dan token penyimpan-rahasia. Audit log pekerjaan pelatihan dan konfigurasi lingkungan untuk bukti eksfiltrasikan kredensial.