Vasqua

Name of the Vulnerable Software and Affected Versions Bibliotecas HuggingFace Transformers versões anteriores a 5.0.0rc3 Description Uma falha existe na classe `Trainer` dentro da biblioteca HuggingFace Transformers. O método ` load rng state()`, localizado em `src/transformers/trainer.py` na linha 3059, utiliza `torch.load()` sem o parâmetro `weights only=True`. Isso cria um risco de execução arbitrária de código ao usar versões do PyTorch abaixo de 2.6 e versões do Transformers que suportam `torch>=2.2`. Um invasor pode explorar isso fornecendo um arquivo de checkpoint malicioso, como `rng state.pth`, que pode executar código arbitrário ao ser carregado. Recommendations Atualize para a versão 5.0.0rc3 ou posterior.