CVE-2026-6859

Name of the Vulnerable Software and Affected Versions InstructLab (versões afetadas não especificadas)

Description Uma falha existe no script linux train.py, que define a variável trust remote code como True de forma fixa ao carregar modelos do HuggingFace. Isso permite que um invasor remoto execute código Python arbitrário caso um usuário seja convencido a executar o comando ilab train/download/generate utilizando um modelo malicioso especialmente criado no HuggingFace Hub, podendo levar ao comprometimento total do sistema.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.