CVE-2025-14931
CriticalSummary
Podatność CVE-2025-14931 w Hugging Face smolagents pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwej walidacji danych dostarczanych przez użytkownika podczas analizy danych pickle.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad kontem usługi, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący nie potrzebuje uwierzytelnienia, co zwiększa ryzyko.
Recommendation
Zaleca się natychmiastowe zaktualizowanie oprogramowania Hugging Face smolagents do najnowszej wersji, aby usunąć tę podatność. Należy również wdrożyć dodatkowe mechanizmy zabezpieczeń, aby ograniczyć dostęp do systemu.
Original NVD description (English source)
Hugging Face smolagents Remote Python Executor Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Hugging Face smolagents. Authentication is not required to exploit this vulnerability. The specific flaw exists within the parsing of pickle data. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of the service account. Was ZDI-CAN-28312.

