漏洞关键信息 标题: (0Day) Hugging Face Transformers SEW-D convert_config Code Injection Remote Code Execution Vulnerability 漏洞编号: - ZDI-25-1148 - ZDI-CAN-28252 CVE ID: CVE-2025-14927 CVSS Score: 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 受影响厂商: Hugging Face 受影响产品: Transformers 漏洞细节: - 允许远程攻击者在受影响的Hugging Face Transformers安装上执行任意代码。 - 利用此漏洞需要用户交互,目标必须转换恶意的检查点。 - 问题出在convert_config函数中,未对用户提供的字符串进行适当验证就执行Python代码。 附加细节: - 10/14/25 - ZDI将报告提交给第三方漏洞赏金计划 - 11/11/25 - ZDI要求更新 - 11/12/25 - 厂商拒绝报告并关闭案件 - 12/12/25 - ZDI通知厂商将在12/18/25发布0-day公告 披露时间线: - 2025-10-14 - 向厂商报告漏洞 - 2025-12-18 - 协调公开发布公告 - 2025-12-18 - 公告更新 致谢: - Peter Girnus (@gothburz), Brandon Niemczyk of Trend Zero Day Initiative