一、 漏洞 CVE-2025-3262 基础信息
漏洞信息
                                        # 正则表达式拒绝服务(ReDoS)漏洞hawks/huggingface/transformers

## 漏洞概述
该漏洞是在huggingface/transformers版本4.49.0中发现的正则表达式拒绝服务(ReDoS)漏洞。由于`transformers/commands/chat.py`文件中的`SETTING_RE`变量中的正则表达式开销过大,导致处理特制的输入字符串时可能引发应用程序性能下降及拒绝服务(DoS)攻击。

## 影响版本
- 4.49.0

## 漏洞细节
- 漏洞位于`transformers/commands/chat.py`文件的`SETTING_RE`变量中。
- 正则表达式因包含重复组和非优化量词,导致处理近匹配的负载时发生指数级回溯。
- 这可能导致应用程序性能显著下降,并潜在地导致拒绝服务攻击。

## 影响
- 当应用程序处理特制输入字符串时,可能导致性能下降和拒绝服务(DoS)。
- 该问题已在版本4.51.0中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Regular Expression Denial of Service (ReDoS) in huggingface/transformers
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Regular Expression Denial of Service (ReDoS) vulnerability was discovered in the huggingface/transformers repository, specifically in version 4.49.0. The vulnerability is due to inefficient regular expression complexity in the `SETTING_RE` variable within the `transformers/commands/chat.py` file. The regex contains repetition groups and non-optimized quantifiers, leading to exponential backtracking when processing 'almost matching' payloads. This can degrade application performance and potentially result in a denial-of-service (DoS) when handling specially crafted input strings. The issue is fixed in version 4.51.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Hugging Face Transformers 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hugging Face Transformers是Hugging Face开源的为 Jax、PyTorch 和 TensorFlow 打造的先进的自然语言处理。 Hugging Face Transformers 4.49.0版本存在安全漏洞,该漏洞源于transformers/commands/chat.py中SETTING_RE变量的正则表达式复杂性不足,可能导致正则表达式拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-3262 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-3262 的情报信息