CVE-2026-8596— Amazon SageMaker Python SDK 安全漏洞

CVSS 7.2 · High EPSS 0.17% · P37 更新于 2026-05-16

可能的 ATT&CK 技术 3AI

T1078 · Valid Accounts T1059 · Command and Scripting Interpreter T1190 · Exploit Public-Facing Application

影响版本矩阵 2

厂商	产品	版本范围	状态
Amazon SageMaker Python SDK	AWS	`2.199.0≤ 2.257.1`	affected
		`3.0.0≤ 3.7.1`	affected

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-8596 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Cleartext storage of HMAC signing key in Amazon SageMaker Python SDK ModelBuilder/Serve path

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Cleartext storage of sensitive information in the ModelBuilder/Serve component in Amazon SageMaker Python SDK before v2.257.2 and v3 before v3.8.0 might allow a remote authenticated actor to extract the HMAC signing key from SageMaker API responses and forge valid integrity signatures for specially crafted model artifacts, achieving code execution in inference containers. This issue requires a remote authenticated actor with permissions to call SageMaker describe APIs and S3 write access to the model artifact path. To remediate this issue, we recommend upgrading to Amazon SageMaker Python SDK v2.257.2 or v3.8.0 and rebuild any models previously created with ModelBuilder using the updated SDK.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

敏感数据的明文存储

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

Amazon SageMaker Python SDK 安全漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

Amazon SageMaker Python SDK是美国亚马逊（Amazon）公司的一个构件、训练和部署机器学习模型的开发者工具包。 Amazon SageMaker Python SDK v2.257.2之前版本和v3.8.0之前版本存在安全漏洞，该漏洞源于ModelBuilder/Serve组件明文存储敏感信息，可能导致远程认证攻击者从SageMaker API响应中提取HMAC签名密钥并伪造有效完整性签名，实现推理容器中的代码执行。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
Amazon SageMaker Python SDK	AWS	2.199.0 ~ 2.257.1	-

二、漏洞 CVE-2026-8596 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

Qwen3.6-35B-A3B · 5030 chars

付费版包含：

漏洞原理深度分析

触发条件与影响面

完整可执行 POC 代码

利用链与缓解建议

POC 打包下载

每月 100+ 条 AI 生成额度

升级 Pro 解锁 ¥99/月先注册

三、漏洞 CVE-2026-8596 的情报信息

请登录查看更多情报信息。

IV. Related Vulnerabilities

Same product: AWS

CVE-2026-8597
Amazon SageMaker Python SDK 安全漏洞

Same vendor: Amazon SageMaker Python SDK

CVE-2026-8597
Amazon SageMaker Python SDK 安全漏洞

Same weakness: CWE-312

V. Comments for CVE-2026-8596

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-8596— Amazon SageMaker Python SDK 安全漏洞

可能的 ATT&CK 技术 3AI

影响版本矩阵 2

一、漏洞 CVE-2026-8596 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-8596 的公开POC

三、漏洞 CVE-2026-8596 的情报信息

IV. Related Vulnerabilities

V. Comments for CVE-2026-8596

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-8596— Amazon SageMaker Python SDK 安全漏洞

可能的 ATT&CK 技术 3AI

影响版本矩阵 2

一、 漏洞 CVE-2026-8596 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-8596 的公开POC

三、漏洞 CVE-2026-8596 的情报信息

IV. Related Vulnerabilities

V. Comments for CVE-2026-8596

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-8596 基础信息