Hugging Face Transformers TFAutoModel Python Pickle Deserialization Vulnerability

漏洞信息

漏洞名称: Hugging Face Transformers TFAutoModel Python Pickle Deserialization Vulnerability

漏洞编号:

  • CVE: CVE-2024-3568

漏洞类型: 反序列化

漏洞等级: 高危

漏洞描述: 该漏洞涉及Hugging Face Transformers库中的TFAutoModel组件,存在Python pickle反序列化安全问题。Hugging Face Transformers是一个广泛使用的自然语言处理库,支持多种预训练模型,广泛应用于学术研究和工业界。漏洞的根源在于不当处理pickle序列化数据,攻击者可以通过构造恶意的pickle数据,在目标系统上执行任意代码。这种漏洞不需要用户交互即可被利用,且由于Transformers库的普及性,潜在影响范围广泛。攻击成功可能导致服务器被完全控制,数据泄露,或服务中断。由于反序列化漏洞通常允许远程代码执行,且无需认证,因此该漏洞被评级为高危。

产品厂商: Hugging Face

产品名称: Transformers

来源: https://github.com/rooobeam/Pickle-Deserialization-Exploit-in-Transformers

类型: CVE-2024:github search

来源概述

Github Poc
#反序列化 #CVE-2024:github search
Hugging Face Transformers TFAutoModel Python Pickle Deserialization Vulnerability
http://example.com/2025/07/10/github_4265483082/
作者
lianccc
发布于
2025年7月10日
许可协议