BDU:2025-12552

Опубликовано: 29 апр. 2025

Источник: fstec

CVSS3: 4.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость функции SubWordJapaneseTokenizer библиотеки Hugging Face Transformers связана с использованием регулярного выражения c неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Hugging Face, Inc.

Наименование ПО

Transformers

Версия ПО

до 4.50.0 (Transformers)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/huggingface/transformers/commit/92c5ca9dd70de3ade2af2eb835c96215cc50e815

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-1194
CVE

EPSS

Процентиль: 27%

0.00095

Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2025-1194

CVSS3: 6.5

nvd

9 месяцев назад

A Regular Expression Denial of Service (ReDoS) vulnerability was identified in the huggingface/transformers library, specifically in the file `tokenization_gpt_neox_japanese.py` of the GPT-NeoX-Japanese model. The vulnerability occurs in the SubWordJapaneseTokenizer class, where regular expressions process specially crafted inputs. The issue stems from a regex exhibiting exponential complexity under certain conditions, leading to excessive backtracking. This can result in high CPU usage and potential application downtime, effectively creating a Denial of Service (DoS) scenario. The affected version is v4.48.1 (latest).

GHSA-fpwr-67px-3qhx