Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12551

Опубликовано: 19 мар. 2025
Источник: fstec
CVSS3: 3.5
CVSS2: 4
EPSS Низкий

Описание

Уязвимость функции startswith() фреймворка Hugging Face Transformers связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на произвольный сайт

Вендор

Hugging Face, Inc.

Наименование ПО

Transformers

Версия ПО

до 4.49.0 включительно (Transformers)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00051
Низкий

3.5 Low

CVSS3

4 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2025-3777

CVSS3: 3.5
redhat
6 месяцев назад

Hugging Face Transformers versions up to 4.49.0 are affected by an improper input validation vulnerability in the `image_utils.py` file. The vulnerability arises from insecure URL validation using the `startswith()` method, which can be bypassed through URL username injection. This allows attackers to craft URLs that appear to be from YouTube but resolve to malicious domains, potentially leading to phishing attacks, malware distribution, or data exfiltration. The issue is fixed in version 4.52.1.

nvd логотип

CVE-2025-3777

CVSS3: 3.5
nvd
6 месяцев назад

Hugging Face Transformers versions up to 4.49.0 are affected by an improper input validation vulnerability in the `image_utils.py` file. The vulnerability arises from insecure URL validation using the `startswith()` method, which can be bypassed through URL username injection. This allows attackers to craft URLs that appear to be from YouTube but resolve to malicious domains, potentially leading to phishing attacks, malware distribution, or data exfiltration. The issue is fixed in version 4.52.1.

github логотип

GHSA-phhr-52qp-3mj4

CVSS3: 3.5
github
6 месяцев назад

Transformers's Improper Input Validation vulnerability can be exploited through username injection

EPSS

Процентиль: 16%
0.00051
Низкий

3.5 Low

CVSS3

4 Medium

CVSS2