关键漏洞信息 漏洞描述 类型: CVE-2025-3777 (URL Parsing Issue) CVE状态: 已发布,正在审查 漏洞类型: CWE-20: 输入验证不当 安全级别: 低 影响: 可能导致钓鱼攻击、恶意软件分发和数据泄露 漏洞细节 仓库: Hugging Face Transformers 文件: image_utils.py 行号: 834 代码片段: 问题: 当前实现仅检查URL是否以特定字符串开头,但未正确验证URL,可通过URL用户名注入绕过。 利用示例 恶意URL: - 通过 检查,该URL看似合法。 - 实际解析后指向 ,而非YouTube。 推荐修复 使用正确的URL解析和验证方法,如Python的 库,确保URL属于YouTube域名。 影响 安全影响: - 钓鱼攻击: 用户可能被误导至恶意网站。 - 恶意软件分发: 攻击者可利用控制的URL分发恶意文件。 - 数据泄露: 应用处理或获取URL内容时,敏感数据可能暴露。 状态与奖励 状态: 已修复 披露赏金: $20 修复赏金: $5 发现者: Yunus AYDIN