Критическая уязвимость в LeRobot (Hugging Face): неаутентифицированное RCE через pickle

Коллеги, хочу обратить внимание в сфере кибербезопасности: обнаружена критическая уязвимость в LeRobot (Hugging Face) — CVE-2026-25874 (CVSS 9.3).
Что важно:
- Уязвимость в async inference (PolicyServer и robot client): unsafe pickle.loads() десериализует данные по неаутентифицированным gRPC без TLS.
- Атакующий может отправить crafted payload через SendPolicyInstructions / SendObservations / GetActions и получить RCE.
- Подтверждена на LeRobot 0.4.3; фикс планируется в 0.6.0.
Почему это важно: инференс‑сервисы часто работают с повышенными привилегиями — риск кражи ключей, компрометации хостов и угрозы физической безопасности.
Какие оперативные шаги Вы бы предприняли прямо сейчас?
#кибербезопасность #уязвимости #OpenSource #ИИ


Последние комментарии
Комментариев пока нет.