Hugging Face LeRobot-Schwachstelle ermöglicht unauthentifizierte RCE-Angriffe
Eine kritische, derzeit ungepatchte Remote Code Execution (RCE)-Schwachstelle wurde LeRobot, Hugging Faces beliebtem Open-Source-Machine-Learning-Framework für die Robotik in der realen Welt, aufgedeckt.
Kurzfassung
Warum das wichtig ist
- Eine kritische, derzeit ungepatchte Remote Code Execution (RCE)-Schwachstelle wurde LeRobot, Hugging Faces beliebtem Open-Source-Machine-Learning-Framework für die Robotik in der realen Welt, aufgedeckt.
- Die Schwachstelle, die als CVE-2026-25874 verfolgt wird und einen kritischen CVSS-Score von 9,3 aufweist, ermöglicht es nicht authentifizierten Angreifern, beliebige Systembefehle auf anfälligen Host-Maschinen auszuführen.
- Mit fast 24.000 Sternen auf GitHub stellt diese Schwachstelle ein schwerwiegendes Risiko für KI-Infrastrukturen, vernetzte Roboter und sensible proprietäre Daten dar.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine kritische, derzeit ungepatchte Remote Code Execution (RCE)-Schwachstelle wurde LeRobot, Hugging Faces beliebtem Open-Source-Machine-Learning-Framework für die Robotik in der realen Welt, aufgedeckt.
Warum relevant
Unsichere Pickle-Deserialisierung Laut dem detaillierten Proof-of-Concept, das öffentlicht wurde, liegt die Schwachstelle im asynchronen Inferenzmodul, das schwere Berechnungen an einen GPU-Server auslagert.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Unsichere Pickle-Deserialisierung Laut dem detaillierten Proof-of-Concept, das öffentlicht wurde, liegt die Schwachstelle im asynchronen Inferenzmodul, das schwere Berechnungen an einen GPU-Server auslagert.
Die Komponenten PolicyServer und RobotClient verwenden das native Pickle-Modul, um Daten zu deserialisieren, die über nicht authentifizierte gRPC-Kanäle übertragen werden.
Da der gRPC-Server add_insecure_port() ohne Transport Layer Security (TLS) oder Authentifizierung verwendet, kann jeder mit Netzwerkzugriff direkt mit dem Dienst verbunden werden.
Einordnung fuer Autofahrer
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/hugging-face-lerobot-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/hugging-face-lerobot-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
BYD baut kostengünstige Natriumbatterien für die Energiespeicherinfrastruktur
Während der chinesische Energiekonzern CATL Natrium-Ionen-Batterien für Pkw entwickelt, konzentriert sich BYD auf stationäre Energiespeicher, bei denen er durch eine polyanionbasierte Zellarchitektur mit Nanofabrikation und Kohlenstoffbeschichtung bis 2027 Produktionskosten von 0,04 US-Dollar pro Wattstunde anstrebt. Diese Technologie bietet mit einer Lebensdauer von 10.000 Zyklen und einem verbesserten thermischen Profil eine sichere Alternative zu Lithium-Eisen-Phosphat-Akkumulatoren, wobei die vollständige Kostengleichheit mit Lithiumbatterien erst nach der Standardisierung der Lieferkette für harte Kohlenstoffmaterialien erwartet wird.
14.06.2026
Live Redaktion
