VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Критическая уязвимость в LeRobot (Hugging Face): неаутентифицированное RCE через pickle

Критическая уязвимость в LeRobot (Hugging Face): неаутентифицированное RCE через pickle

Коллеги, хочу обратить внимание в сфере кибербезопасности: обнаружена критическая уязвимость в LeRobot (Hugging Face) — CVE-2026-25874 (CVSS 9.3).

Что важно:
- Уязвимость в async inference (PolicyServer и robot client): unsafe pickle.loads() десериализует данные по неаутентифицированным gRPC без TLS.
- Атакующий может отправить crafted payload через SendPolicyInstructions / SendObservations / GetActions и получить RCE.
- Подтверждена на LeRobot 0.4.3; фикс планируется в 0.6.0.

Почему это важно: инференс‑сервисы часто работают с повышенными привилегиями — риск кражи ключей, компрометации хостов и угрозы физической безопасности.

Какие оперативные шаги Вы бы предприняли прямо сейчас?

#кибербезопасность #уязвимости #OpenSource #ИИ

Последние комментарии

Комментариев пока нет.