关键漏洞信息 日期: December 18th, 2025 标题: (0Day) Hugging Face Transformers HuBERT convert _config Code Injection Remote Code Execution Vulnerability 漏洞标识: - ZDI-25-1146 - ZDI-CAN-28253 CVE ID: CVE-2025-14928 CVSS 分数: 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 受影响厂商: Hugging Face 受影响产品: Transformers 漏洞详情 此漏洞允许远程攻击者在受影响的Hugging Face Transformers安装上执行任意代码。要利用此漏洞,需要用户交互,目标必须转换恶意的检查点。 具体缺陷存在于convert_config函数中。问题来源于在执行Python代码之前,未对用户提供的字符串进行适当验证。攻击者可以利用此漏洞在当前用户上下文中执行代码。 额外细节 2025-10-14: ZDI将报告提交给第三方赏金猎人计划 2025-11-25: ZDI要求更新 2025-11-25: 厂商拒绝报告并关闭案件 2025-12-25: ZDI通知厂商打算在2025-12-18发布零日公告 缓解措施: 鉴于漏洞的性质,唯一有效的缓解策略是限制与产品的互动 披露时间线 2025-10-14: 漏洞报告给厂商 2025-12-18: 协调发布的公开咨询公告 2025-12-18: 顾问更新 致谢 Peter Girnus (@gothburz), Brandon Niemczyk of Trend Zero Day Initiative