关键信息 漏洞概述 漏洞名称: Regular expression Denial of Service - ReDoS in huggingface/transformers CVE编号: CVE-2023-5197 漏洞类型: CWE 1333: Inefficient Regular Expression Complexity 严重性: Medium (6.5) 影响组件 函数,用于将TensorFlow权重名称转换为PyTorch格式。 技术细节 受影响组件: 函数。 漏洞类型: 正则表达式拒绝服务(ReDoS)。 攻击向量: 多次重复的权重名称模式在模型转换中导致灾难性的回溯。 再现步骤 1. 安装依赖项: 2. 运行以下代码: 影响 模型转换服务中断: 服务可能变得无响应,模型转换管道可能被阻塞。 生产环境资源耗尽: 高CPU使用率、共享环境中的多个用户受影响、处理队列积压。 API服务漏洞: REST API暴露的模型转换功能可能被针对,恶意模型文件可用于触发漏洞。 开发影响: 本地开发环境、IDE或笔记本环境可能在模型转换期间受到影响。 参考资料 类似报告 #3 类似报告 #1 类似报告 #2 状态 状态: Fixed 披露日期: 2023年8月6日 发现者: Arjun Shibu