一、 漏洞 CVE-2025-3777 基础信息
漏洞信息
# huggingface/transformers中的输入验证不当
## 漏洞概述
Hugging Face Transformers 版本 4.49.0 及以下版本中存在一个输入验证不当的漏洞。该漏洞源于 `image_utils.py` 文件中使用 `startswith()` 方法进行不安全的 URL 验证,可以通过 URL 用户名注入绕过验证。
## 影响版本
- 版本 4.49.0 及以下版本
## 漏洞细节
漏洞位于 `image_utils.py` 文件内的 URL 验证逻辑。由于使用了 `startswith()` 方法,攻击者可以通过 URL 用户名注入的方式构造看似来自 YouTube 的 URL,但实际上指向恶意域名。
## 影响
攻击者可以利用此漏洞进行网络钓鱼攻击、恶意软件分发或数据外泄。该问题已在版本 4.52.1 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Improper Input Validation in huggingface/transformers
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Hugging Face Transformers versions up to 4.49.0 are affected by an improper input validation vulnerability in the `image_utils.py` file. The vulnerability arises from insecure URL validation using the `startswith()` method, which can be bypassed through URL username injection. This allows attackers to craft URLs that appear to be from YouTube but resolve to malicious domains, potentially leading to phishing attacks, malware distribution, or data exfiltration. The issue is fixed in version 4.52.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Hugging Face Transformers 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hugging Face Transformers是Hugging Face开源的为 Jax、PyTorch 和 TensorFlow 打造的先进的自然语言处理。 Hugging Face Transformers 4.49.0及之前版本存在输入验证错误漏洞,该漏洞源于image_utils.py中URL验证不足,可能导致钓鱼攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-3777 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-3777 的情报信息
-
-
标题: Merge branch 'main' into chat-template-url · huggingface/transformers@4dda5f7 · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-3777