CVE-2026-44513 in diffusers
요약
\~에 의해 VulDB • 2026. 05. 15.
Diffusers는 사전 학습된 디퓨전 모델을 위한 라이브러리입니다. 버전 0.38.0 이전의 DiffusionPipeline.from_pretrained에서는 trust_remote_code 우회 취약점이 존재하여, 사용자가 trust_remote_code=False를 명시하거나(기본값인 경우 생략 포함) 전달했음에도 불구하고 임의의 원격 코드 실행이 가능했습니다. 이 취약점은 동일한 근본 원인을 공유하는 세 가지 변형으로 나타납니다. 즉, trust_remote_code 검증 게이트가 실제 동적 모듈 로딩 지점이 아닌 DiffusionPipeline.download() 내부에 구현되었기 때문에, download()를 우회하거나 단축(short-circuit)하는 모든 코드 경로는 보안 검증을 우회하게 됩니다.
1. DiffusionPipeline.from_pretrained('repoA', custom_pipeline='attacker/repoB', trust_remote_code=False): 게이트가 repoB가 아닌 repoA의 파일 목록에 대해 평가되었으므로, repoB의 pipeline.py가 로드되어 실행되었습니다. 2. DiffusionPipeline.from_pretrained('/local/snapshot', custom_pipeline='attacker/repoB', trust_remote_code=False): 로컬 경로 분기에서는 download()가 호출되지 않았으므로 게이트에 도달하지 못해 repoB의 원격 코드가 실행되었습니다. 3. DiffusionPipeline.from_pretrained('/local/snapshot', trust_remote_code=False) (스냅샷에 model_index.json에서 참조되는 커스텀 컴포넌트 파일(예: unet/my_unet_model.py)이 포함된 경우): 동일한 근본 원인으로, 로컬 경로가 download()를 건너뛰면서 커스텀 컴포넌트 코드가 실행되었습니다.
이 취약점은 버전 0.38.0에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.