CVE-2026-44513

Nome do Software Vulnerável e Versões Afetadas Diffusers versões anteriores a 0.38.0

Descrição Uma falha de bypass no mecanismo trust remote code na função DiffusionPipeline.from pretrained() permite a execução remota de código arbitrário, mesmo quando trust remote code é definido como False ou mantido como padrão. Isso ocorre porque a verificação de segurança foi implementada dentro da função DiffusionPipeline.download() em vez de no local de carregamento do módulo dinâmico, permitindo que qualquer caminho de código que ignore a função download() execute código não confiável. Isso se manifesta em três cenários: quando um custom pipeline é carregado de um repositório diferente do modelo principal, quando um snapshot local é usado com um custom pipeline baseado no Hub, ou quando um snapshot local contém arquivos de componentes personalizados referenciados no model index.json.

Recomendações Atualize para a versão 0.38.0. Utilize pretrained model name or path, custom pipeline e diretórios de snapshot local apenas de fontes totalmente confiáveis e auditadas. Evite usar o parâmetro custom pipeline para apontar para um repositório do Hub diferente do pretrained model name or path principal sem antes auditar o arquivo pipeline.py. Inspecione snapshots locais em busca de arquivos *.py inesperados, particularmente na raiz e nos subdiretórios de componentes, antes de chamar a função from pretrained().