Уязвимость удаленного выполнения кода (RCE) существует в библиотеке lightning-ai/pytorch-lightning версии 2.2.1 из-за неправильной обработки десериализованного пользовательского ввода и ненадлежащего управления атрибутами dunder библиотекой deepdiff. Библиотека использует объекты deepdiff.Delta для изменения состояния приложения на основе действий интерфейса. Однако можно обойти предполагаемые ограничения на изменение атрибутов dunder, что позволяет злоумышленнику создать сериализованную дельту, которая проходит список разрешений десериализатора и содержит атрибуты dunder. При обработке это можно использовать для доступа к другим модулям, классам и экземплярам, что приведет к произвольной записи атрибутов и полному RCE в любом самостоятельно размещенном приложении pytorch-lightning в его конфигурации по умолчанию, поскольку конечная точка дельты включена по умолчанию.