PT-2024-16956 · Hugging Face · Huggingface/Transformers
The_Kernel_Panic
·
Publicado
2024-11-19
·
Atualizado
2025-12-29
·
CVE-2024-11393
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Modelo MaskFormer do Hugging Face Transformers (versões afetadas não especificadas)
Descrição
Esta vulnerabilidade envolve a desserialização de dados não confiáveis no modelo MaskFormer do Hugging Face Transformers, podendo levar à execução remota de código. A exploração bem-sucedida requer interação do usuário, como visitar uma página maliciosa ou abrir um arquivo malicioso. A causa principal é a validação insuficiente dos dados fornecidos pelo usuário durante a análise dos arquivos do modelo, o que permite a desserialização de dados não confiáveis. Um invasor pode explorar isso para executar código no contexto do usuário atual.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Huggingface/Transformers