Pesquisadores de cibersegurança revelaram uma falha crítica no Lightning AI Studio, uma plataforma de desenvolvimento amplamente utilizada, que poderia permitir a execução remota de código (RCE) com privilégios de root. A vulnerabilidade, classificada com uma pontuação CVSS de 9.4, foi descoberta pela empresa de segurança Noma e corrigida após a divulgação responsável. Caso explorada, essa falha permitiria que invasores executassem comandos arbitrários nos servidores afetados, comprometendo informações sensíveis e potencialmente assumindo o controle total dos sistemas. O problema residia em um parâmetro oculto na URL, identificado como “command”, que permitia o envio de comandos codificados em Base64 para serem executados diretamente no ambiente de desenvolvimento da vítima.

Ao explorar esse parâmetro, um invasor poderia obter acesso irrestrito ao sistema, manipular arquivos, roubar credenciais e até mesmo extrair chaves de acesso críticas. Esse tipo de vulnerabilidade representa um alto risco, pois facilita ataques direcionados contra desenvolvedores e organizações que utilizam a plataforma para treinar e implantar modelos de inteligência artificial. O ataque poderia ser realizado de maneira relativamente simples, exigindo apenas o conhecimento prévio do nome de perfil da vítima e do seu respectivo estúdio no Lightning AI Studio.

Essas informações, que estavam publicamente acessíveis por meio da galeria de templates da plataforma, permitiam que um invasor construísse links maliciosos capazes de acionar a execução de comandos remotos. Uma vez que o link fosse clicado pelo usuário, o código seria executado automaticamente com privilégios administrativos. Além do impacto direto na segurança dos usuários, essa vulnerabilidade também expôs riscos para empresas que utilizam a plataforma para desenvolvimento de inteligência artificial. O acesso privilegiado poderia comprometer dados confidenciais, expor modelos de IA proprietários e permitir manipulações não autorizadas em sistemas críticos.