CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-14931

Critical
Published: Translated: NVD NIST

Summary

Podatność CVE-2025-14931 w Hugging Face smolagents pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwej walidacji danych dostarczanych przez użytkownika podczas analizy danych pickle.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad kontem usługi, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący nie potrzebuje uwierzytelnienia, co zwiększa ryzyko.

Recommendation

Zaleca się natychmiastowe zaktualizowanie oprogramowania Hugging Face smolagents do najnowszej wersji, aby usunąć tę podatność. Należy również wdrożyć dodatkowe mechanizmy zabezpieczeń, aby ograniczyć dostęp do systemu.

Original NVD description (English source)

Hugging Face smolagents Remote Python Executor Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Hugging Face smolagents. Authentication is not required to exploit this vulnerability. The specific flaw exists within the parsing of pickle data. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of the service account. Was ZDI-CAN-28312.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS