一、 漏洞 CVE-2025-3263 基础信息
漏洞信息
                                        # 正则表达式拒绝服务(ReDoS)在 huggingface/transformers 中

## 概述
Hugging Face Transformers库中的`get_configuration_file()`函数存在正则表达式拒绝服务(ReDoS)漏洞,该漏洞可能导致通过精心设计的输入字符串引发CPU过度消耗。

## 影响版本
- 漏洞影响版本:4.49.0
- 已修复版本:4.51.0

## 细节
漏洞来源于`transformers.configuration_utils`模块中的正则表达式模式`config\.(.*)\.json`,该模式会导致回溯次数过多,从而引发CPU过度消耗。此类攻击可以通过精心构造的输入字符串触发,导致模型服务中断、资源耗尽和应用程序延迟增加。

## 影响
该漏洞可能导致模型服务中断、资源耗尽和应用程序延迟增加。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Regular Expression Denial of Service (ReDoS) in huggingface/transformers
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Regular Expression Denial of Service (ReDoS) vulnerability was discovered in the Hugging Face Transformers library, specifically in the `get_configuration_file()` function within the `transformers.configuration_utils` module. The affected version is 4.49.0, and the issue is resolved in version 4.51.0. The vulnerability arises from the use of a regular expression pattern `config\.(.*)\.json` that can be exploited to cause excessive CPU consumption through crafted input strings, leading to catastrophic backtracking. This can result in model serving disruption, resource exhaustion, and increased latency in applications using the library.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Hugging Face Transformers 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hugging Face Transformers是Hugging Face开源的为 Jax、PyTorch 和 TensorFlow 打造的先进的自然语言处理。 Hugging Face Transformers 4.49.0版本存在安全漏洞,该漏洞源于transformers.configuration_utils模块中get_configuration_file函数的正则表达式复杂性不足,可能导致正则表达式拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-3263 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-3263 的情报信息