HuggingFace on 办公AI智能小助手 https://blog.qife122.com/tags/huggingface/ Recent content in HuggingFace on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 12:37:12 +0800 Hugging Face Transformers 曝高危代码注入漏洞(CVE-2025-14928):HuBERT模型转换函数可致远程代码执行 https://blog.qife122.com/p/hugging-face-transformers-%E6%9B%9D%E9%AB%98%E5%8D%B1%E4%BB%A3%E7%A0%81%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2025-14928hubert%E6%A8%A1%E5%9E%8B%E8%BD%AC%E6%8D%A2%E5%87%BD%E6%95%B0%E5%8F%AF%E8%87%B4%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ Sun, 28 Dec 2025 12:37:12 +0800 https://blog.qife122.com/p/hugging-face-transformers-%E6%9B%9D%E9%AB%98%E5%8D%B1%E4%BB%A3%E7%A0%81%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2025-14928hubert%E6%A8%A1%E5%9E%8B%E8%BD%AC%E6%8D%A2%E5%87%BD%E6%95%B0%E5%8F%AF%E8%87%B4%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ <h1 id="cve-2025-14928hugging-face-transformers-中的代码注入漏洞">CVE-2025-14928:Hugging Face Transformers 中的代码注入漏洞</h1> <p><strong>严重性:高</strong> <strong>类型:漏洞</strong></p> <h2 id="漏洞概述">漏洞概述</h2> <p>CVE-2025-14928 是 Hugging Face Transformers 库中的一个高危安全漏洞,具体涉及 HuBERT 模型的 <code>convert_config</code> 函数。该漏洞被归类为 CWE-94,即“代码生成的不当控制”,通常称为代码注入。远程攻击者能够通过此漏洞在受影响的 Hugging Face Transformers 安装上执行任意代码。利用此漏洞需要用户交互,即目标用户必须转换一个恶意的模型检查点文件。</p> Huggingface Transformers反序列化漏洞利用详解CVE-2024-11392 https://blog.qife122.com/p/huggingface-transformers%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E8%AF%A6%E8%A7%A3cve-2024-11392/ Fri, 31 Oct 2025 08:57:15 +0800 https://blog.qife122.com/p/huggingface-transformers%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E8%AF%A6%E8%A7%A3cve-2024-11392/ <h2 id="exploit-for-deserialization-of-untrusted-data-in-huggingface-transformers-cve-2024-11392">Exploit for Deserialization of Untrusted Data in Huggingface Transformers CVE-2024-11392</h2> <p>2025-10-18 | CVSS 8.8</p> <h2 id="运行说明">运行说明</h2> <ul> <li>安装Docker和uv,然后克隆仓库并运行uv sync,安装完成后进入文件夹并激活虚拟环境</li> <li>当前的server.py与test_grader.py、test_run.py和test_task.json配合使用</li> <li>运行方法:在一个终端中运行<code>hud dev --build</code>,在另一个终端中运行<code>python test_run.py</code>(确保处于uv创建的虚拟环境中)</li> </ul> <h2 id="漏洞信息">漏洞信息</h2> <p><a href="https://sploitus.com/exploit?id=6F58E280-58AF-5F01-A808-5B203794BF67">https://sploitus.com/exploit?id=6F58E280-58AF-5F01-A808-5B203794BF67</a></p>