Vulnerabilidad en SageMaker Python SDK de AWS (CVE-2026-1777)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-319 Transmisión de información sensible en texto claro

Fecha de publicación:

02/02/2026

Última modificación:

03/02/2026

Descripción

El SDK de Python de Amazon SageMaker anterior a las versiones v3.2.0 y v2.256.0 incluye la clave de firma HMAC de ModelBuilder en los elementos de respuesta en texto claro de la función DescribeTrainingJob. Un tercero con permisos tanto para llamar a esta API como para modificar objetos en la ubicación de salida S3 de los trabajos de entrenamiento podría tener la capacidad de cargar artefactos arbitrarios que se ejecutan la próxima vez que se invoca el trabajo de entrenamiento.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

8.50

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.20

Gravedad 3.x

ALTA

Vulnerabilidad en SageMaker Python SDK de AWS (CVE-2026-1777)

Descripción

Impacto

Referencias a soluciones, herramientas e información