CRITICAL🇬🇧 English

CVE-2026-5241

RCE w Huggingface Transformers — obejście trust_remote_code w LightGlue

CVSS 9.6v3.0pub. 2026-06-03upd. 2026-07-02

Podatność w ścieżce ładowania modelu LightGlue w bibliotece huggingface/transformers 5.2.0 umożliwia atakującemu wykonanie dowolnego kodu (RCE) podczas inicjalizacji modelu, nawet gdy użytkownik jawnie wyłączył zdalne wykonywanie kodu. Jest to szczególnie groźne, ponieważ mechanizm ochronny `trust_remote_code=False` jest skutecznie neutralizowany bez wiedzy ofiary.

Pokaż oryginał (EN)

A vulnerability in the LightGlue model loading path of huggingface/transformers version 5.2.0 allows an attacker-controlled model repository to execute arbitrary code during model initialization. The issue arises because the `trust_remote_code` parameter, intended to prevent remote code execution, is overridden by untrusted serialized configuration data in a nested code path. Specifically, when loading a LightGlue model using `AutoModel.from_pretrained()` with `trust_remote_code=False`, the `LightGlueConfig` reads the `trust_remote_code` value from the untrusted `config.json` file and propagates it into nested `AutoConfig.from_pretrained()` calls. This results in the execution of attacker-provided Python modules, even when the victim explicitly disables remote code execution. The vulnerability poses a high risk for environments such as API inference servers, research notebooks, CI/CD pipelines, and model evaluation workers, potentially leading to credential theft, lateral movement, or persistence/backdoor deployment.

🤖 Analiza AI
Jak działa

Problem polega na tym, że klasa `LightGlueConfig` odczytuje wartość parametru `trust_remote_code` z niezaufanego pliku `config.json` kontrolowanego przez atakującego, a następnie przekazuje tę wartość do zagnieżdżonych wywołań `AutoConfig.from_pretrained()`. W efekcie, pomimo wywołania `AutoModel.from_pretrained()` z parametrem `trust_remote_code=False`, wartość ta zostaje nadpisana przez dane z repozytorium atakującego. Skutkuje to załadowaniem i wykonaniem dostarczonych przez atakującego modułów Pythona w trakcie inicjalizacji modelu, całkowicie omijając zamierzony mechanizm ochrony przed RCE.

Skutki

Atakujący kontrolujący złośliwe repozytorium modelu może doprowadzić do wykonania dowolnego kodu na maszynie ofiary, co może skutkować kradzieżą poświadczeń, lateral movement w sieci lub wdrożeniem backdoora zapewniającego trwały dostęp.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Poprawka dostępna jest w repozytorium projektu pod adresem: https://github.com/huggingface/transformers/commit/676559d5022b74aaa0cee1cee0842b7f27c5320e. Do czasu aktualizacji należy unikać ładowania modeli LightGlue z niezaufanych repozytoriów oraz weryfikować integralność plików `config.json` przed inicjalizacją modelu.

Kogo dotyczy

Huggingface Transformers w wersji 5.2.0, w szczególności środowiska korzystające z `AutoModel.from_pretrained()` do ładowania modeli LightGlue — serwery API, notebooki badawcze, potoki CI/CD oraz systemy ewaluacji modeli.

Uwagi

Podatność została zgłoszona za pośrednictwem platformy huntr.com (bounty: ceb3ce1a-4c45-497a-b25e-cb9a7685e619). Wektor ataku wymaga interakcji użytkownika (UI:R) — ofiara musi samodzielnie załadować model ze złośliwego repozytorium, co jednak jest typowym scenariuszem w środowiskach badawczych i produkcyjnych korzystających z publicznych repozytoriów modeli.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Huggingface Transformers

    APP
    Huggingface
    5.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-3568CRITICAL9.6PL ✓ten sam produkt

RCE przez deserializację w bibliotece Huggingface Transformers

CVE-2026-4372HIGH7.8ten sam produkt

A critical remote code execution vulnerability exists in all versions of the HuggingFace transformers library ...

CVE-2026-1839HIGH7.8ten sam produkt

A vulnerability in the HuggingFace Transformers library, specifically in the `Trainer` class, allows for arbit...

CVE-2025-14924HIGH7.8ten sam produkt

Hugging Face Transformers megatron_gpt2 Deserialization of Untrusted Data Remote Code Execution Vulnerability....

CVE-2025-14920HIGH7.8ten sam produkt

Hugging Face Transformers Perceiver Model Deserialization of Untrusted Data Remote Code Execution Vulnerabilit...