Demeng Chen

Pesquisador deTrend Zero Day Initiative
#10783de 53,639
25.6CVSS total
Vulnerabilidades · 3
Alta
2
Crítica
1
PT-2025-52386
7.8
2025-12-18
Hugging Face · Huggingface/Transformers · CVE-2025-14929
**Nome do Software Vulnerável e Versões Afetadas** Hugging Face Transformers (versões afetadas não especificadas) **Descrição** Existe uma falha no Hugging Face Transformers relacionada à análise de checkpoints, permitindo que atacantes remotos executem código arbitrário. O problema decorre da validação insuficiente de dados fornecidos pelo usuário, levando à desserialização de dados não confiáveis. É necessária interação do usuário, como visitar uma página maliciosa ou abrir um arquivo malicioso, para acionar a exploração. A vulnerabilidade foi identificada como ZDI-CAN-28308. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
PT-2025-52387
7.8
2025-12-18
Hugging Face · Huggingface/Transformers · CVE-2025-14930
**Nome do Software Vulnerável e Versões Afetadas** Hugging Face Transformers (versões afetadas não especificadas) **Descrição** Existe uma falha no Hugging Face Transformers relacionada à análise de pesos, decorrente da validação insuficiente de dados fornecidos pelo usuário. Isso pode levar à desserialização de dados não confiáveis, permitindo potencialmente que um atacante remoto execute código arbitrário. É necessária interação do usuário, pois o alvo deve visitar uma página maliciosa ou abrir um arquivo malicioso para explorar a vulnerabilidade. A vulnerabilidade foi designada ZDI-CAN-28309. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
PT-2025-52388
10
2025-12-18
Hugging Face · Smolagents · CVE-2025-14931
**Nome do Software Vulnerável e Versões Afetadas** Hugging Face smolagents (versões afetadas não especificadas) **Descrição** Existe uma falha no Hugging Face smolagents que permite que atacantes remotos executem código arbitrário em sistemas afetados. Não é necessária autenticação para a exploração. O problema origina-se da validação insuficiente de dados fornecidos pelo usuário durante a análise de dados pickle, levando à desserialização de dados não confiáveis. Um atacante pode explorar isso para executar código no contexto da conta de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.