CVE-2024-12029
Remote Code Execution via Model Deserialization in invoke-ai/invokeai
Vexday Risk Score
63Prioridad alta
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 9.8EPSS 5.3%KEV nãoPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
07 feb 2025Exploit Metasploit disponible
20 mar 2025Publicada en NVD
15 abr 2026PoC pública
Recomendación: Planificar corrección próxima — ya existe PoC pública.
A remote code execution vulnerability exists in invoke-ai/invokeai versions 5.3.1 through 5.4.2 via the /api/v2/models/install API. The vulnerability arises from unsafe deserialization of model files using torch.load without proper validation. Attackers can exploit this by embedding malicious code in model files, which is executed upon loading. This issue is fixed in version 5.4.3.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
invoke-ai · invoke-ai/invokeaiPoCs públicas encontradas — 1
githubgithub.com/Lu3ky13/Alternative-Approach-Reverse-Shell-Callback-Test-InvokeAI-RCE★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →