CVE-2026-44513 in diffusers
Résumé
par VulDB • 15/05/2026
Diffusers est une bibliothèque pour les modèles de diffusion pré-entraînés. Avant la version 0.38.0, une contournement de `trust_remote_code` dans `DiffusionPipeline.from_pretrained` permet l'exécution de code arbitraire à distance (RCE) bien que l'utilisateur ait passé `trust_remote_code=False` (ou l'ait omis, ce qui est la valeur par défaut). La vulnérabilité présente trois variantes, partageant toutes la même cause racine : le mécanisme de contrôle `trust_remote_code` a été implémenté à l'intérieur de `DiffusionPipeline.download()` plutôt qu'au niveau réel du chargement dynamique du module, de sorte que tout chemin d'exécution contournant ou court-circuitant `download()` évitait également la vérification de sécurité.
- `DiffusionPipeline.from_pretrained('repoA', custom_pipeline='attacker/repoB', trust_remote_code=False)` : le contrôle était évalué par rapport à la liste des fichiers de `repoA` plutôt qu'à celle de `repoB`, de sorte que `pipeline.py` de `repoB` a été chargé et exécuté. - `DiffusionPipeline.from_pretrained('/local/snapshot', custom_pipeline='attacker/repoB', trust_remote_code=False)` : la branche de chemin local n'a jamais invoqué `download()`, de sorte que le contrôle n'a jamais été atteint et que le code distant de `repoB` a été exécuté. - `DiffusionPipeline.from_pretrained('/local/snapshot', trust_remote_code=False)` où le snapshot contient des fichiers de composants personnalisés (par exemple `unet/my_unet_model.py`) référencés depuis `model_index.json` : même cause racine ; le chemin local a ignoré `download()` et le code des composants personnalisés a été exécuté.
Cette vulnérabilité est corrigée dans la version 0.38.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.