PT-2026-36227 — Deserialization of Untrusted Data in Hugging Face Lerobot

PT-2026-36227 · Hugging Face · Lerobot

Published

2026-04-23

Updated

2026-04-23

CVSS v2.0

High

Vector

AV:N/AC:L/Au:N/C:C/I:C/A:C

Уязвимость функции pickle.loads() библиотеки Hugging Face LeRobot связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Fix

Deserialization of Untrusted Data

Found an issue in the description? Have something to add? Feel free to write us 👾

dbugs@ptsecurity.com

Weakness Enumeration

CWE-502

Related Identifiers

BDU:2026-06131

Affected Products

Lerobot

PT-2026-36227 · Hugging Face · Lerobot

Weakness Enumeration

Related Identifiers

Affected Products

References · 6