Hugging Face Transformers Security Flaw Allows Remote Code Execution
2026/06/05 gbhackers — Hugging Face の Transformers ライブラリに存在する深刻なセキュリティ脆弱性 CVE-2026-4372 を悪用する攻撃者は、悪意のモデル・コンフィグを通じて、数百万規模の機械学習ワークフローを秘密裏にリモート・コード実行 (RCE) のリスクにさらす可能性がある。この脆弱性を悪用する攻撃者は、trust_remote_code=True の設定や明示的なユーザー操作を必要とせずに、標準の from_pretrained() API を介して細工されたモデルを読み込ませるだけで、被害者のシステム上で任意のコードを実行できる。この問題は、セキュリティ企業の研究者 Yotam Perkal により発見された。
Continue reading “Hugging Face Transformers の脆弱性 CVE-2026-4372 が FIX:悪意のモデル読み込みと RCE”
IoT OT Security News 