Vulnerabilities ›

CVE-2026-31221

High ⚡ Exploit Available

CWE-502 — Weakness Type

                    Published: May 12, 2026                      ·  Modified: May 19, 2026                      ·  Source: NVD                

CVSS v3

7.8

🔗 NVD Official

📄 Description (English)

PyTorch-Lightning versions 2.6.0 and earlier contain an insecure deserialization vulnerability (CWE-502) in the checkpoint loading mechanism. The LightningModule.load_from_checkpoint() method, which is commonly used to load saved model states, internally calls torch.load() without setting the security-restrictive weights_only=True parameter. This default behavior allows the deserialization of arbitrary Python objects via the Pickle module. A remote attacker can exploit this by providing a maliciously crafted checkpoint file, leading to arbitrary code execution on the victim's system when the file is loaded.

🤖 AI Executive Summary

PyTorch-Lightning versions 2.6.0 and earlier contain an insecure deserialization vulnerability in checkpoint loading that allows arbitrary code execution through maliciously crafted checkpoint files. Attackers can exploit the LightningModule.load_from_checkpoint() method which uses unsafe torch.load() without weights_only=True parameter.

📄 Description (Arabic)

تحتوي ثغرة CVE-2026-31221 على ضعف في آلية فك التسلسل غير الآمنة في PyTorch-Lightning حيث تستخدم دالة torch.load() بدون تفعيل معامل الأمان weights_only=True. يمكن للمهاجمين إنشاء ملفات نقاط تفتيش ضارة تحتوي على كائنات Python عشوائية يتم تنفيذها عند التحميل. هذا يؤدي إلى تنفيذ كود عشوائي كامل على أنظمة الضحايا.

🤖 ملخص تنفيذي (AI)

PyTorch-Lightning الإصدارات 2.6.0 وما قبلها تحتوي على ثغرة فك تسلسل غير آمنة في آلية تحميل نقاط التفتيش تسمح بتنفيذ كود عشوائي. يمكن للمهاجمين استغلال طريقة LightningModule.load_from_checkpoint() التي تستخدم torch.load() غير الآمنة.

🤖 AI Intelligence Analysis Analyzed: May 15, 2026 19:35

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking energy telecom healthcare

🎯 MITRE ATT&CK Techniques

T1204.001 T1566.001 T1203 T1059.006

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade PyTorch-Lightning to version 2.6.1 or later immediately. Implement strict file validation and integrity checks before loading checkpoint files. Restrict checkpoint file sources to trusted locations only. Monitor and log all checkpoint loading operations. Consider using sandboxed environments for model inference. Validate checkpoint file signatures using cryptographic methods.

🔧 خطوات المعالجة (العربية)

قم بترقية PyTorch-Lightning إلى الإصدار 2.6.1 أو أحدث فوراً. طبق التحقق الصارم من صحة الملفات قبل تحميل نقاط التفتيش. قيد مصادر ملفات نقاط التفتيش للمواقع الموثوقة فقط. راقب وسجل جميع عمليات تحميل نقاط التفتيش. استخدم بيئات معزولة لاستدلال النموذج. تحقق من توقيعات ملفات نقاط التفتيش باستخدام الطرق التشفيرية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1 A.7.2 A.12.2.1 A.14.2.1

🔵 SAMA CSF

ID.BE-1 PR.DS-1 PR.DS-2 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.12.2.1 A.12.4.1 A.14.2.1

🔗 References & Sources 2

🔗

https://github.com/Lightning-AI/pytorch-lightning

cve@mitre.org

Product

🔗

https://www.notion.so/CVE-2026-31221-35d1e1393188815f8db7c4fd08076639

cve@mitre.org

Exploit Third Party Advisory

📦 Affected Products / CPE 1 entries

lightningai:pytorch_lightning

📊 CVSS Score

7.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.8

CWECWE-502

EPSS0.19%

Exploit ✓ Yes

Patch ✗ No

Published 2026-05-12

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available CWE-502

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-31221

Introduce Yourself

Sign In Required