つみかさね

CVE-2026-5241

Critical(9.6)

HuggingFace Transformersのtrust_remote_codeバイパスRCE CVE-2026-5241:影響範囲と対応方法

公開日: 2026-07-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
huggingface/transformersHugging Face5.2.0

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1transformersのバージョンを確認する(pip show transformers)
  2. 2LightGlueモデルを使用しているかコードベースを検索する
  3. 3最新バージョンのtransformersへアップグレードする(pip install --upgrade transformers)
  4. 4外部モデルリポジトリのリストを見直し、信頼できるソースのみに制限する

影響対象

huggingface/transformers 5.2.0でLightGlueモデルを読み込む利用者

補足

  • -trust_remote_code=Falseを指定しているだけでは不十分です。LightGlueモデル使用時はこの保護が無効化されます
  • -APIサーバーや自動化パイプラインでtransformersを使用している環境は特に優先度を上げてください
CVEHuggingFaceTransformersRCE機械学習trust_remote_code

30秒で判断

対応すべき人:

  • huggingface/transformers バージョン 5.2.0 を使用している
  • AutoModel.from_pretrained() を使ってLightGlueモデルを読み込んでいる
  • 外部(信頼されていない)モデルリポジトリからモデルを読み込む環境がある

対応不要な人:

  • 上記修正コミット以降のバージョンを使用している
  • LightGlueモデルを使用していない、または自社管理の信頼できるモデルのみを使用している
  • モデルロードに transformers を使用していない

確認コマンド:

pip show transformers | grep Version

概要

HuggingFace Transformers 5.2.0 のLightGlueモデル読み込みパスに存在する脆弱性です。

本来、AutoModel.from_pretrained()trust_remote_code=False を渡すことで、リモートリポジトリ上のカスタムPythonコードの実行を防ぐことができます。しかし、LightGlueモデルの読み込みでは LightGlueConfig クラスがリモートの config.json から trust_remote_code の値を読み取り、ネストされた AutoConfig.from_pretrained() 呼び出しに上書きして渡してしまいます。

つまり、攻撃者が制御するモデルリポジトリの config.json"trust_remote_code": true と記述しておくことで、被害者が trust_remote_code=False を明示的に指定していても、攻撃者のPythonコードが実行されます。

リスクが特に高い環境: APIサーバー(外部ユーザーがモデルを指定できる)、リサーチノートブック、CI/CDパイプライン、モデル評価ワーカー。これらでは認証情報の窃取、ラテラルムーブメント、バックドア設置等の被害につながる可能性があります。


CVSSベクトル

項目
CVSSスコア9.6(Critical)
CWECWE-829(信頼できない制御領域からの機能の組み込み)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)なし (N)(外部リポジトリ利用可能なら)
ユーザーの関与 (UI)要 (R)(ユーザーがモデルをロードする必要あり)
スコープ (S)変更 (C)

影響を受けるソフトウェア

製品影響バージョン
huggingface/transformers5.2.0

修正バージョンと回避策

修正: GitHub コミット 676559d にて修正済み。最新バージョンへのアップグレードを推奨します。

pip install --upgrade transformers

回避策(アップグレードが困難な場合):

  • 外部モデルリポジトリからのロードを禁止し、社内管理のモデルのみを使用する
  • trust_remote_code=False の指定を継続しつつ、LightGlueモデルの使用を避ける
  • 利用するモデルリポジトリのソースコードを手動でレビューする

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。