Critical Unpatched Flaw Leaves Hugging Face LeRobot Open to Unauthenticated RCE
Ein kritischer Sicherheitsfehler mit der CVE-ID 2026-25874 (CVSS-Score: 9,3) wurde bei Hugging Face's offenen Robotik-Plattform LeRobot entdeckt. Die Schwachstelle ermöglicht unbauthentifizierten Angreifern die Ausführung von Remote Code Execution-Befehlen und resultiert aus der Deserialisierung nicht vertrauenswürdiger Daten. Benutzer sollten unverzüglich ein Update auf die neueste Version des Systems durchführen, sobald eine Patch-Veröffentlichung vorliegt.
In Hugging Face LeRobot wurde CVE-2026-25874 mit CVSS 9,3 entdeckt. Die Schwachstelle entsteht durch Deserialisierung nicht vertrauenswürdiger Daten und ermöglicht unauthentifizierte Remote Code Execution.
Benutzer der offenen Robotik-Plattform Hugging Face LeRobot
Unauthentifizierte Remote Code Execution kann Angreifern die Ausführung von Befehlen ohne Anmeldung ermöglichen.
Ein nicht authentifizierter Angreifer führt Befehle auf einem betroffenen LeRobot-System aus.
Sobald verfügbar, unverzüglich auf die neueste Version mit Patch aktualisieren.
- ▸Inventarisieren, ob Hugging Face LeRobot eingesetzt wird.
- ▸Prüfen, ob LeRobot-Systeme bis zur Patch-Verfügbarkeit unnötig exponiert sind.
- ▸Überwachen, ob Prozesse oder Befehle auf LeRobot-Systemen unerwartet ausgeführt werden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | Low | Die Schwachstelle ermöglicht unauthentifizierte Remote Code Execution; ob die Systeme öffentlich erreichbar sind, ist nicht angegeben. |
| Execution | T1059 Command and Scripting Interpreter | Low | Der Artikel nennt die Ausführung von Remote Code Execution-Befehlen, aber keine konkreten Interpreter. |
- Patch-Status, betroffene Versionen, IOCs und aktive Ausnutzung sind nicht im Artikel angegeben.
- Das genannte Industrie-Tag Energie wird nicht weiter durch den Artikel erklärt.