Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Hugging Face Transformers (CVE-2025-3777)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
07/07/2025
Última modificación:
08/07/2025

Descripción

Las versiones de Hugging Face Transformers hasta la 4.49.0 se ven afectadas por una vulnerabilidad de validación de entrada incorrecta en el archivo `image_utils.py`. Esta vulnerabilidad se debe a una validación de URL insegura mediante el método `startswith()`, que puede eludirse mediante la inyección de nombres de usuario en la URL. Esto permite a los atacantes manipular URL que parecen provenir de YouTube, pero que redirigen a dominios maliciosos, lo que podría provocar ataques de phishing, distribución de malware o exfiltración de datos. El problema se ha corregido en la versión 4.52.1.