Hugging Face LeRobot-Schwachstelle ermöglicht unauthentifizierte RCE-Angriffe
Eine kritische, derzeit ungepatchte Remote Code Execution (RCE)-Schwachstelle wurde LeRobot, Hugging Faces beliebtem Open-Source-Machine-Learning-Framework für die Robotik in der realen Welt, aufgedeckt.
Kurzfassung
Warum das wichtig ist
- Eine kritische, derzeit ungepatchte Remote Code Execution (RCE)-Schwachstelle wurde LeRobot, Hugging Faces beliebtem Open-Source-Machine-Learning-Framework für die Robotik in der realen Welt, aufgedeckt.
- Die Schwachstelle, die als CVE-2026-25874 verfolgt wird und einen kritischen CVSS-Score von 9,3 aufweist, ermöglicht es nicht authentifizierten Angreifern, beliebige Systembefehle auf anfälligen Host-Maschinen auszuführen.
- Mit fast 24.000 Sternen auf GitHub stellt diese Schwachstelle ein schwerwiegendes Risiko für KI-Infrastrukturen, vernetzte Roboter und sensible proprietäre Daten dar.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine kritische, derzeit ungepatchte Remote Code Execution (RCE)-Schwachstelle wurde LeRobot, Hugging Faces beliebtem Open-Source-Machine-Learning-Framework für die Robotik in der realen Welt, aufgedeckt.
Warum relevant
Unsichere Pickle-Deserialisierung Laut dem detaillierten Proof-of-Concept, das öffentlicht wurde, liegt die Schwachstelle im asynchronen Inferenzmodul, das schwere Berechnungen an einen GPU-Server auslagert.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Unsichere Pickle-Deserialisierung Laut dem detaillierten Proof-of-Concept, das öffentlicht wurde, liegt die Schwachstelle im asynchronen Inferenzmodul, das schwere Berechnungen an einen GPU-Server auslagert.
Die Komponenten PolicyServer und RobotClient verwenden das native Pickle-Modul, um Daten zu deserialisieren, die über nicht authentifizierte gRPC-Kanäle übertragen werden.
Da der gRPC-Server add_insecure_port() ohne Transport Layer Security (TLS) oder Authentifizierung verwendet, kann jeder mit Netzwerkzugriff direkt mit dem Dienst verbunden werden.
Einordnung fuer Autofahrer
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/hugging-face-lerobot-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/hugging-face-lerobot-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Apple M6 MacBook Pro mit Mobilfunkunterstützung startet: Absatz von iPads könnte betroffen sein
Apple bereitet mit der neuen M6-MacBook-Pro-Serie eine Markteinführung vor, die durch ein dünneres Gehäuse, OLED-Displays und die Integration eigener 5G-Modems für eine direkte Internetverbindung ohne WLAN gekennzeichnet ist. Experten befürchten, dass diese leistungsstarke Kombination aus Computer-Erfahrung und Mobilität die Nachfrage nach iPad-Modellen mit zellularem Datennetzwerk erheblich reduzieren und den internen Wettbewerb innerhalb des Apple-Ökosystems verschärfen könnte.
14.06.2026
Live Redaktion
