CVE-2026-58116
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
LLaMA-Factory do wersji 0.9.5 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym z dostępem do interfejsu WebUI na wykonanie dowolnego kodu Python poprzez podanie złośliwej ścieżki modelu w interfejsach czatu lub trenowania. Aplikacja przekazuje niezweryfikowaną ścieżkę modelu do funkcji AutoTokenizer.from_pretrained() i AutoModel.from_pretrained() z zakodowanym na stałe parametrem trust_remote_code=True, co powoduje, że biblioteka Hugging Face transformers pobiera i wykonuje dowolny kod ze zdalnego lub lokalnego repozytorium modeli z uprawnieniami procesu serwera.
Ocena ryzyka
Atakujący może przejąć kontrolę nad serwerem, wykraść dane, zainstalować złośliwe oprogramowanie lub zakłócić działanie usługi, wykorzystując pełne uprawnienia procesu serwera.
Rekomendacja
Należy natychmiast zaktualizować LLaMA-Factory do wersji nowszej niż 0.9.5, a jeśli nie jest dostępna, ograniczyć dostęp do interfejsu WebUI tylko do zaufanych użytkowników i zweryfikować wszystkie ścieżki modeli przed ich użyciem.
Oryginalny opis (angielski, źródło NVD)
LLaMA-Factory through 0.9.5 contains a remote code execution vulnerability that allows attackers with WebUI access to execute arbitrary Python code by supplying a malicious model path in the Chat or Training interfaces. The application passes user-supplied model path input unvalidated into AutoTokenizer.from_pretrained() and AutoModel.from_pretrained() with a hardcoded trust_remote_code=True parameter, causing the Hugging Face transformers library to fetch and execute arbitrary code from a remote or local model repository with the privileges of the server process.

