W bibliotece Huggingface Smolagents w wersji 1.14.0 odkryto krytyczną podatność umożliwiającą ucieczkę z sandboxa i zdalne wykonanie kodu (RCE). Błąd pozwala atakującemu bez żadnego uwierzytelnienia i interakcji użytkownika na pełne przejęcie kontroli nad systemem hosta.
▸ Pokaż oryginał (EN)
A sandbox escape vulnerability was identified in huggingface/smolagents version 1.14.0, allowing attackers to bypass the restricted execution environment and achieve remote code execution (RCE). The vulnerability stems from the local_python_executor.py module, which inadequately restricts Python code execution despite employing static and dynamic checks. Attackers can exploit whitelisted modules and functions to execute arbitrary code, compromising the host system. This flaw undermines the core security boundary intended to isolate untrusted code, posing risks such as unauthorized code execution, data leakage, and potential integration-level compromise. The issue is resolved in version 1.17.0.
Podatność znajduje się w module local_python_executor.py, który jest odpowiedzialny za izolowane wykonywanie kodu Pythona. Zastosowane mechanizmy kontroli — zarówno statyczne, jak i dynamiczne — są niewystarczające i pozostawiają luki możliwe do wykorzystania. Atakujący może posłużyć się dozwolonymi (whitelistowanymi) modułami i funkcjami w celu wykonania dowolnego kodu poza piaskownicą, skutecznie omijając zamierzoną granicę bezpieczeństwa środowiska wykonawczego.
Atakujący może wykonać dowolny kod na systemie hosta (RCE), co prowadzi do nieautoryzowanego dostępu, wycieku danych oraz potencjalnego kompromitowania komponentów zintegrowanych z biblioteką.
Należy zaktualizować bibliotekę Huggingface Smolagents do wersji 1.17.0, w której problem został rozwiązany. Patch dostępny jest w repozytorium projektu na GitHub.
Huggingface Smolagents w wersji 1.14.0
Podatność zgłoszona za pośrednictwem platformy huntr.com (bounty 63ab1cfe-b573-4cf5-a7d3-fb6c957e34b0). Poprawka wprowadzona w commicie 33a942e w repozytorium GitHub projektu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HHuggingface Smolagents
APPHuggingface1.14.0
Powiązane podatności
Hugging Face Smolagents version 1.20.0 contains an XPath injection vulnerability in the search_item_ctrl_f fun...
W huggingface smolagents 1.25.0.dev0 wykryto słabość. Dotyczy to funkcji evaluate_augassign/evaluate_call/eval...
W huggingface smolagents 1.24.0 zidentyfikowano słabość w funkcji requests.get/requests.post komponentu LocalP...
RCE w Huggingface Transformers — obejście trust_remote_code w LightGlue
Niebezpieczna deserializacja w LeRobot — RCE przez gRPC bez uwierzytelnienia