漏洞概述 漏洞名称: Bypass in LightGlue Nested Config Resolution (Transformers 5.2.0) Leading to Remote Code Execution During Normal Loading in huggingface/transformers CVE编号: CVE-2026-3341 漏洞类型: CWE-829: Inclusion of Functionality from Untrusted Control Sphere 严重程度: High (8) 攻击向量: Network 攻击复杂度: High 所需权限: None 用户交互: Required 模型: Changes 机密性: High 完整性: High 可用性: None 注册表: PyPI 受影响版本: 5.2.0 可见性: Public 状态: Fixed 披露赏金: $750 修复赏金: $187.5 发现者: Kim Myeong Hyun 影响范围 受影响库: 触发条件: 正常加载模型时,即使设置了 ,攻击者可以通过控制模型仓库和嵌套配置目标来执行远程代码。 潜在后果: - 任意代码执行 - 凭证/令牌窃取 - 从服务账户上下文进行横向移动 - 在模型服务基础设施中部署持久性/后门 修复方案 状态: 已修复 修复赏金: $187.5 POC代码 受害者触发(正常用法) 攻击者控制的仓库(私有仓库) 主模型仓库: 嵌套检测器仓库: 主仓库 (关键字段) 嵌套仓库 (动态 auto_map) 嵌套模块中的恶意副作用 包含导入时副作用: 观察结果 模型加载完成( ) 标记文件 被创建 这证明了即使在初始化期间指定了 ,代码执行仍然发生 详细信息 库通过 宣传了一个信任边界 在这个路径中,该边界没有得到一致执行 用户在顶层设置 不受信任的 LightGlue 配置注入 嵌套的 消耗了攻击者控制的值 动态模块导入执行了攻击者提供的代码 PoC 视频 Google Drive 链接 影响 任意代码执行: 在模型初始化期间 触发方式: 通过常规的 使用 高风险场景: - API 推理服务器加载用户提供的模型 ID(无需用户交互) - Jupyter 笔记本/研究环境 - CI/CD 或内部模型评估工作器 潜在结果: - 凭证/令牌窃取 - 从服务账户上下文进行横向移动 - 在模型服务基础设施中部署持久性/后门