Se ha identificado una vulnerabilidad crítica (CVE-2025-23298) en la biblioteca NVIDIA Merlin Transformers4Rec que permite a atacantes no autenticados ejecutar código remoto (RCE) con privilegios de root mediante la deserialización insegura en el cargador de puntos de control del modelo. Esta falla afecta particularmente a la función load_model_trainer_states_from_checkpoint al usar PyTorch sin parámetros de seguridad, exponiendo dependencias inseguras del módulo pickle de Python.
CVE y severidad
| CVE | CVSS 3.1 | Severidad | Componente vulnerable | Explotación conocida |
|---|---|---|---|---|
| CVE-2025-23298 | 9.8 | Crítica | NVIDIA Merlin Transformers4Rec (cargador de puntos de control) | Sí (demostrada por investigadores) |
Productos afectados
La vulnerabilidad afecta a NVIDIA Merlin Transformers4Rec en versiones iguales o anteriores a la 1.5.0.
Solución
Actualizar a la versión parcheada que incorpora una función de carga personalizada y validación estricta de clases, como se implementó en la solicitud de integración PR #802 del repositorio oficial.
Recomendaciones
Se recomienda encarecidamente no usar pickle con datos no confiables y restringir la deserialización a clases aprobadas únicamente. Implementar mecanismos de firma criptográfica para los archivos de modelos, emplear formatos alternativos seguros como Safetensors u ONNX, y realizar auditorías de seguridad periódicas sobre los pipelines de ML.