CVE-2026-1839

Name of the Vulnerable Software and Affected Versions Bibliotecas HuggingFace Transformers versões anteriores a 5.0.0rc3

Description Uma falha existe na classe Trainer dentro da biblioteca HuggingFace Transformers. O método load rng state(), localizado em src/transformers/trainer.py na linha 3059, utiliza torch.load() sem o parâmetro weights only=True. Isso cria um risco de execução arbitrária de código ao usar versões do PyTorch abaixo de 2.6 e versões do Transformers que suportam torch>=2.2. Um invasor pode explorar isso fornecendo um arquivo de checkpoint malicioso, como rng state.pth, que pode executar código arbitrário ao ser carregado.

Recommendations Atualize para a versão 5.0.0rc3 ou posterior.