Plataforma
python
Componente
transformers
Corregido en
4.57.1
La vulnerabilidad CVE-2025-14927 es una ejecución remota de código (RCE) presente en Hugging Face Transformers versiones 4.57.0 a 4.57.0. Un atacante puede aprovechar esta falla para ejecutar código arbitrario en sistemas afectados, requiriendo que el usuario convierta un checkpoint malicioso. La vulnerabilidad ha sido publicada el 23 de diciembre de 2025 y se recomienda actualizar a la versión 4.57.1 para solucionar el problema.
Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el sistema donde se ejecuta Hugging Face Transformers. El ataque se desencadena al convertir un checkpoint malicioso, lo que podría permitir al atacante tomar control completo del sistema. El riesgo es particularmente alto en entornos de desarrollo o producción donde se utilizan modelos de lenguaje y se procesan checkpoints de fuentes no confiables. La ejecución de código arbitrario podría resultar en robo de datos confidenciales, modificación de archivos del sistema, o incluso el uso del sistema comprometido para lanzar ataques a otros sistemas en la red, ampliando significativamente el radio de impacto.
La vulnerabilidad CVE-2025-14927 fue publicada el 23 de diciembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la RCE sugiere un riesgo significativo. Se espera que la disponibilidad de un Proof of Concept (PoC) público aumente la probabilidad de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Hugging Face Transformers for natural language processing tasks, particularly those involved in model training and deployment, are at significant risk. Environments where checkpoint conversion is automated or performed by less experienced users are especially vulnerable. Shared hosting environments where multiple users have access to the Transformers installation are also at increased risk.
• python / transformers:
import subprocess
# Check for the vulnerable version
result = subprocess.run(['pip', 'show', 'transformers'], capture_output=True, text=True)
if 'Version: 4.57.0' in result.stdout:
print('Vulnerable version detected!')• python / transformers: Monitor for unusual process execution after checkpoint conversion using system monitoring tools. • generic web: Monitor access logs for requests related to checkpoint conversion endpoints. Look for unusual user agents or request parameters.
disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14927 es actualizar Hugging Face Transformers a la versión 4.57.1 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar la conversión de checkpoints de fuentes no confiables. Implementar controles de acceso estrictos para limitar quién puede convertir checkpoints. Como medida adicional, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas relacionadas con la conversión de checkpoints. Verifique la integridad de los checkpoints antes de su uso.
Actualice la biblioteca Hugging Face Transformers a una versión posterior a la 4.57.0. Esto solucionará la vulnerabilidad de inyección de código en la función convert_config. Asegúrese de obtener la versión actualizada desde la fuente oficial de Hugging Face.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14927 is a Remote Code Execution vulnerability in Hugging Face Transformers versions 4.57.0–4.57.0, allowing attackers to execute arbitrary code via malicious checkpoint conversion.
You are affected if you are using Hugging Face Transformers versions 4.57.0 through 4.57.0. Check your installed version using pip show transformers.
Upgrade Hugging Face Transformers to version 4.57.1 or later. Restrict access to checkpoint conversion functionality until the upgrade is complete.
While no active exploitation has been confirmed, the RCE nature of the vulnerability suggests a high likelihood of exploitation. Monitor your systems for suspicious activity.
Refer to the Hugging Face security advisory for detailed information and updates: [https://huggingface.co/docs/security/CVE-2025-14927](https://huggingface.co/docs/security/CVE-2025-14927)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.