CVE-2026-45804 in diffusers
Riassunto
di VulDB • 15/07/2026
Diffusers è una libreria per modelli di diffusione pre-addestrati. Prima della versione 0.38.0, il flusso DiffusionPipeline.from_pretrained di Diffusers può aggirare la protezione trust_remote_code poiché download() convalida model_index.json e il codice del pipeline personalizzato prima di caricarli successivamente da una cartella cache che potrebbe subire modifiche; ciò consente a un repository Hub contenente codice .py per pipeline personalizzate di essere eseguito tramite il flusso della pipeline personalizzata senza richiedere i parametri custom_pipeline o trust_remote_code=True. Questo problema è stato risolto nella versione 0.38.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.