CVE-2025-2099

Nome do Software Vulnerável e Versões Afetadas huggingface/transformers versão v4.48.3

Descrição Uma vulnerabilidade na função preprocess string() do módulo transformers.testing utils permite um ataque de Negação de Serviço por Expressão Regular (ReDoS). A expressão regular usada para processar blocos de código em docstrings contém quantificadores aninhados, levando a um backtracking exponencial ao processar entradas com um grande número de caracteres de nova linha. Um atacante pode explorar isso fornecendo um payload especialmente elaborado, causando alto uso de CPU e potencial indisponibilidade da aplicação, resultando efetivamente em um cenário de Negação de Serviço (DoS).

Recomendações Como solução temporária, considere desativar a função preprocess string() até que um patch esteja disponível. Restrinja o acesso ao módulo transformers.testing utils para minimizar o risco de exploração. Evite usar a função preprocess string() no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.