PT-2025-28155 · Hugging Face · Huggingface/Transformers
Publicado
2025-03-19
·
Atualizado
2025-08-07
·
CVE-2025-3777
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Hugging Face Transformers anteriores à 4.52.1
Descrição:
O Hugging Face Transformers é afetado por uma vulnerabilidade de validação inadequada de entrada no arquivo
image utils.py. A vulnerabilidade decorre de uma validação insegura de URL utilizando o método startswith(), que pode ser contornada através de injeção de nome de usuário na URL. Isso permite que atacantes criem URLs que parecem ser do YouTube, mas resolvem para domínios maliciosos, potencialmente levando a ataques de phishing, distribuição de malware ou exfiltração de dados.Recomendações:
Atualize para a versão 4.52.1 ou posterior do Hugging Face Transformers.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Huggingface/Transformers