VMTech
+381 11 4183 54024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Критическая уязвимость в LeRobot (Hugging Face): неаутентифицированное RCE через pickle

Критическая уязвимость в LeRobot (Hugging Face): неаутентифицированное RCE через pickle

Kritična ranjivost u LeRobotu (Hugging Face): neautentifikovano RCE putem pickle

Kolege, želim skrenuti pažnju u oblasti sajberbezbednosti: otkrivena je kritična ranjivost u LeRobotu (Hugging Face) — CVE-2026-25874 (CVSS 9.3).

Šta je bitno:
- Ranjivost u async inference (PolicyServer i robot client): unsafe pickle.loads() deserializuje podatke primljene preko neautentifikovanih gRPC konekcija bez TLS.
- Napadač može poslati crafted payload putem SendPolicyInstructions / SendObservations / GetActions i izvesti RCE.
- Potvrđeno u LeRobotu 0.4.3; fiks planiran za 0.6.0.

Zašto je važno: servisi za inferencu često rade sa povišenim privilegijama — rizik krađe ključeva, kompromitacije hostova i ugrožavanja fizičke bezbednosti.

Koje operativne korake biste Vi preduzeli odmah?

#SajberBezbednost #Ranjivosti #OtvoreniKod #VestackaInteligencija

Актуальные показатели
9Просмотры
3Охват
0Лайки
0Комментарии
0Сохранения
0Репосты

Последние комментарии

Комментариев пока нет.

Instagram

Критическая уязвимость в LeRobot (Hugging Face): неаутентифицированное RCE через pickle

Открыть публикацию в Instagram ↗