製品・ソフトウェアに関する情報

JVN脆弱性詳細

huggingfaceのtransformersにおける複数の脆弱性

Title	huggingfaceのtransformersにおける複数の脆弱性
Summary	HuggingFace transformersライブラリのバージョン5.3.0未満のすべてのバージョンには、重大なリモートコード実行の脆弱性が存在します。この脆弱性により、攻撃者は悪意のある`config.json`ファイルを作成し、その中の`_attn_implementation_internal`フィールドに攻撃者が制御するHuggingFace HubリポジトリIDを設定できます。被害者が標準の`AutoModelForCausalLM.from_pretrained()` APIを使ってこのモデルをロードすると、ライブラリは攻撃者のリポジトリから任意のPythonコードをダウンロードし、被害者のOS権限で実行します。この問題は、設定属性の無検証な逆シリアル化、内部フィールドの不十分なサニタイズ、ダウンロードされたカーネルのサンドボックス外実行が原因です。この脆弱性は`trust_remote_code`セキュリティ機構を回避し、被害者に気付かれず、標準のドキュメント化された使用パターンを悪用するため非常に深刻です。ユーザーはこの問題を緩和するためにバージョン5.3.0以降にアップグレードすることを推奨します。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 24, 2026, midnight
Registration Date	June 8, 2026, 11:48 a.m.
Last Update	June 8, 2026, 11:48 a.m.

CVSS3.0 : 重要
Score	7.8
Vector	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Affected System

huggingface

transformers 5.3.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-4372	https://www.cve.org/CVERecord?id=CVE-2026-4372
National Vulnerability Database (NVD)
2	CVE-2026-4372	https://nvd.nist.gov/vuln/detail/CVE-2026-4372

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1066	https://cwe.mitre.org/data/definitions/1066.html
2	CWE-502	https://cwe.mitre.org/data/definitions/502.html

ベンダー情報

No	Name	URL
huntr
1	huntr - The world’s first bug bounty platform for AI/ML	https://huntr.com/bounties/1f693a6e-6836-4b8b-a0bd-ca036fba8884

その他

No	Name	URL
関連文書
1	fix security vuln huggingface/transformers@a7f8e7f GitHub	https://github.com/huggingface/transformers/commit/a7f8e7ff37d87d1a1a0c8cf607971c607741452f

Change Log

No	Changed Details	Date of change
1	[2026年06月08日] 掲載	June 8, 2026, 11:48 a.m.

NVD Vulnerability Information

CVE-2026-4372

Summary	A critical remote code execution vulnerability exists in all versions of the HuggingFace transformers library prior to version 5.3.0. The vulnerability allows an attacker to craft a malicious `config.json` file containing the `_attn_implementation_internal` field set to an attacker-controlled HuggingFace Hub repository ID. When a victim loads this model using the standard `AutoModelForCausalLM.from_pretrained()` API, the library downloads and executes arbitrary Python code from the attacker's repository with the victim's full OS privileges. This issue arises due to unfiltered deserialization of configuration attributes, insufficient sanitization of internal fields, and unsandboxed execution of downloaded kernels. The vulnerability bypasses the `trust_remote_code` security mechanism, is invisible to the victim, and exploits the standard documented usage pattern, making it particularly severe. Users are advised to upgrade to version 5.3.0 or later to mitigate this issue.
Publication Date	May 24, 2026, 11:16 p.m.
Registration Date	May 27, 2026, 4:07 a.m.
Last Update	May 27, 2026, 5:06 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/huggingface/transformers/commit/a7f8e7ff37d87d1a1a0c8cf607971c607741452f	security@huntr.dev
2	https://huntr.com/bounties/1f693a6e-6836-4b8b-a0bd-ca036fba8884	security@huntr.dev

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-1066	シリアライズ制御要素の欠如	https://cwe.mitre.org/data/definitions/1066.html