一、 漏洞 CVE-2025-11844 基础信息
漏洞信息
                                        # Hugging Face Smolagents XPath注入漏洞

## 概述

Hugging Face Smolagents 1.20.0 存在 XPath 注入漏洞,位于 `src/smolagents/vision_web_browser.py` 文件中的 `search_item_ctrl_f` 函数。

## 影响版本

- 受影响版本:1.20.0
- 修复版本:1.22.0

## 漏洞细节

`search_item_ctrl_f` 函数在构造 XPath 查询时,直接拼接用户输入,未对输入进行适当的过滤或转义处理。攻击者可借此注入恶意的 XPath 表达式,修改查询逻辑。

## 漏洞影响

- 攻击者可绕过搜索过滤器;
- 可访问非预期的 DOM 元素;
- 可干扰 Web 自动化流程;
- 可能导致信息泄露、AI 智能体交互被操控、自动化任务可靠性受损。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
XPath Injection in Hugging Face Smolagents search_item_ctrl_f Function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Hugging Face Smolagents version 1.20.0 contains an XPath injection vulnerability in the search_item_ctrl_f function located in src/smolagents/vision_web_browser.py. The function constructs an XPath query by directly concatenating user-supplied input into the XPath expression without proper sanitization or escaping. This allows an attacker to inject malicious XPath syntax that can alter the intended query logic. The vulnerability enables attackers to bypass search filters, access unintended DOM elements, and disrupt web automation workflows. This can lead to information disclosure, manipulation of AI agent interactions, and compromise the reliability of automated web tasks. The issue is fixed in version 1.22.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
XPath表达式中数据转义处理不恰当(XPath注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Hugging Face Transformers 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hugging Face Transformers是Hugging Face开源的为 Jax、PyTorch 和 TensorFlow 打造的先进的自然语言处理。 Hugging Face Transformers 1.20.0版本存在安全漏洞,该漏洞源于search_item_ctrl_f函数直接拼接用户输入到XPath表达式,可能导致XPath注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11844 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-11844 的情报信息
四、漏洞 CVE-2025-11844 的评论

暂无评论

发表评论