CVE-2025-14926: CWE-94: Hugging Face Transformers 中不当控制代码生成（‘代码注入’）

严重性: 高 类型: 漏洞

漏洞描述

CVE-2025-14926 Hugging Face Transformers SEW convert_config 代码注入远程代码执行漏洞。此漏洞允许远程攻击者在受影响的Hugging Face Transformers安装上执行任意代码。利用此漏洞需要用户交互，即目标必须转换一个恶意检查点。

具体缺陷存在于 convert_config 函数中。该问题源于在使用用户提供的字符串执行Python代码之前，缺乏适当的验证。攻击者可利用此漏洞在当前用户上下文中执行代码。该漏洞对应ZDI-CAN-28251。

AI 分析技术摘要

CVE-2025-14926 是一个被归类为 CWE-94（不当控制代码生成）的远程代码执行漏洞，影响 Hugging Face Transformers 4.57.0 版本。该漏洞存在于 convert_config 函数中，该函数在处理用户提供的字符串时，未能在将其作为 Python 代码执行之前进行充分的验证。这种缺乏清理（sanitization）的情况使得攻击者能够制作一个恶意检查点文件，当该文件被易受攻击的函数转换时，会触发具有当前用户权限的任意代码执行。

利用此漏洞需要用户交互，具体来说，目标必须启动对恶意检查点的转换，这种情况可能发生在用户从外部源导入或更新机器学习模型的环境中。该漏洞通过允许攻击者运行任意命令，可能导致数据盗窃、系统被攻陷或拒绝服务，从而影响机密性、完整性和可用性。尽管目前没有已知的公开漏洞利用程序，但高达7.8的CVSS评分表明了显著的风险。该漏洞由ZDI（ZDI-CAN-28251）于2025年12月23日发现并公布。受影响的产品 Hugging Face Transformers 广泛用于自然语言处理和AI应用程序，这使得该漏洞对依赖这些技术的组织具有重要影响。

潜在影响

对于欧洲的组织而言，此漏洞构成了重大风险，特别是对于那些将 Hugging Face Transformers 集成到其AI和机器学习流水线中的组织。成功利用可能导致未经授权的代码执行，从而导致数据泄露、知识产权盗窃或AI服务中断。处理敏感数据或运营依赖AI模型的关键基础设施的组织尤其脆弱。对用户交互的要求限制了大范围利用，但并未消除风险，因为攻击者可能采用社会工程学或供应链攻击来诱骗用户转换恶意检查点。影响扩展到使用该易受攻击库的云环境和本地部署。鉴于AI技术在欧洲的日益普及，此漏洞可能影响金融、医疗保健、汽车和政府服务等部门，可能破坏信任和运营连续性。

缓解建议

1. 在发布补丁之前，避免转换或加载来自不受信任或未经身份验证的来源的检查点文件。
2. 监控 Hugging Face 官方渠道，并在安全补丁或更新发布后立即应用。
3. 对 convert_config 函数或相关工作流处理的任何用户提供的数据实施严格的输入验证和清理。
4. 采用沙盒或容器化技术来隔离模型转换过程的执行环境，限制潜在代码执行的影响。
5. 教育用户和开发者处理不受信任的模型文件的风险，并强制执行策略，在使用前验证AI模型的完整性和来源。
6. 使用运行时应用程序自保护（RASP）或端点检测与响应（EDR）工具来检测表明利用尝试的异常行为。
7. 审查并限制运行 Transformers 库的用户帐户的权限，以最小化利用造成的潜在损害。

受影响国家

德国、法国、英国、荷兰、瑞典、芬兰

来源: CVE Database V5 发布日期: 2025年12月23日 星期二

技术详情

• 数据版本: 5.2
• 分配者简称: zdi
• 保留日期: 2025-12-18T20:49:50.656Z
• Cvss 版本: 3.0
• 状态: 已发布
• 威胁 ID: 694b064e4eddf7475afca17c
• 添加到数据库时间: 2025年12月23日，晚上9:14:54
• 最后丰富时间: 2025年12月23日，晚上9:19:15
• 最后更新时间: 2025年12月24日，凌晨3:55:53
• 查看次数: 3