# 漏洞关键信息 - **标题**: (0Day) Hugging Face Transformers SEW-D convert_config Code Injection Remote Code Execution Vulnerability - **漏洞编号**: - ZDI-25-1148 - ZDI-CAN-28252 - **CVE ID**: CVE-2025-14927 - **CVSS Score**: 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - **受影响厂商**: Hugging Face - **受影响产品**: Transformers - **漏洞细节**: - 允许远程攻击者在受影响的Hugging Face Transformers安装上执行任意代码。 - 利用此漏洞需要用户交互,目标必须转换恶意的检查点。 - 问题出在convert_config函数中,未对用户提供的字符串进行适当验证就执行Python代码。 - **附加细节**: - 10/14/25 - ZDI将报告提交给第三方漏洞赏金计划 - 11/11/25 - ZDI要求更新 - 11/12/25 - 厂商拒绝报告并关闭案件 - 12/12/25 - ZDI通知厂商将在12/18/25发布0-day公告 - **披露时间线**: - 2025-10-14 - 向厂商报告漏洞 - 2025-12-18 - 协调公开发布公告 - 2025-12-18 - 公告更新 - **致谢**: - Peter Girnus (@gothburz), Brandon Niemczyk of Trend Zero Day Initiative