Vulnerabilidad en OmniGen2-RL de Beijing Academy of Artificial Intelligence (BAAI) (CVE-2026-25873)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

18/03/2026

Última modificación:

19/03/2026

Descripción

OmniGen2-RL contiene una vulnerabilidad de ejecución remota de código no autenticada en el componente del servidor de recompensas que permite a atacantes remotos ejecutar comandos arbitrarios enviando solicitudes POST HTTP maliciosas. Los atacantes pueden explotar la deserialización pickle insegura de los cuerpos de las solicitudes para lograr la ejecución de código en el sistema anfitrión que ejecuta el servicio expuesto.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vulnerabilidad en OmniGen2-RL de Beijing Academy of Artificial Intelligence (BAAI) (CVE-2026-25873)

Descripción

Impacto

Referencias a soluciones, herramientas e información