CVE-2026-4963 Hugging Face smolagents代码注入漏洞

漏洞信息

漏洞编号

CVE-2026-4963

漏洞类型

代码注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Hugging Face smolagents

漏洞概述

Hugging Face smolagents 1.25.0.dev0版本存在安全漏洞。该漏洞源于src/smolagents/local_python_executor.py文件中的evaluate_augassign、evaluate_call或evaluate_with函数未完全修复CVE-2025-9959导致的不完整修复问题。攻击者可通过远程利用此漏洞进行代码注入攻击，导致机密性、完整性和可用性受损。目前漏洞利用代码已公开，厂商尚未回应。

技术细节

该漏洞是Hugging Face smolagents库在修复CVE-2025-9959时引入的不完整修复漏洞。具体问题出在src/smolagents/local_python_executor.py文件的evaluate_augassign、evaluate_call和evaluate_with函数中。由于之前的修复不够彻底，攻击者仍可以通过构造特殊语法的Python代码，绕过安全检查机制。当执行器处理这些恶意构造的代码时，会触发代码注入漏洞，导致在服务器上下文中执行任意Python代码。该攻击可远程发起，且无需认证，但需要一定的用户交互。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标系统正在使用Hugging Face smolagents库，且版本为1.25.0.dev0或受影响版本。

STEP 2

2. 载荷构造

攻击者分析CVE-2025-9959的修复补丁，发现local_python_executor.py中evaluate_augassign/evaluate_call/evaluate_with函数存在绕过逻辑，构造恶意的Python代码注入载荷。

STEP 3

3. 发起攻击

攻击者通过网络向目标应用发送包含恶意载荷的请求，诱导应用处理该输入。攻击向量需要用户交互（UI:R）。

STEP 4

4. 代码执行

目标系统的Python执行器处理恶意载荷时，由于过滤不完整，触发漏洞，解析并执行攻击者注入的任意Python代码。

STEP 5

5. 达成目的

攻击者利用执行权限获取系统敏感信息、修改数据或进一步控制服务器，影响系统的机密性、完整性和可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for CVE-2026-4963
# This demonstrates how a payload might be crafted to exploit the incomplete fix
# in evaluate_call/evaluate_augassign functions within smolagents.

import smolagents

def exploit_poc():
    # Malicious payload designed to bypass the specific filter logic
    # Example: Injecting a system command using Python's os module
    # The specific bypass technique depends on the exact logic flaw in the affected functions.
    
    # Hypothetical payload exploiting evaluate_call
    payload = "__import__('os').system('id')"
    
    # In a real scenario, this payload would be passed to the agent
    # which then passes it to the local_python_executor.
    print(f"[+] Sending payload: {payload}")
    
    # Simulation of the vulnerable execution flow
    try:
        # agent = smolagents.CodeAgent(...) # Setup agent
        # agent.run(payload) # Trigger vulnerability
        print("[!] Exploit trigger simulated (actual execution requires vulnerable environment)")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    exploit_poc()

影响范围

Hugging Face smolagents 1.25.0.dev0

防御指南

临时缓解措施

建议立即升级Hugging Face smolagents至修复了此漏洞的最新版本。在升级前，应禁用相关功能或仅允许受信任的用户访问，并严格监控系统执行日志以发现潜在的利用尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4963
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4963
3 Details https://www.cvedetails.com/cve/CVE-2026-4963/
4 VulDB https://vuldb.com/cve/CVE-2026-4963
5 Link https://gist.github.com/YLChen-007/35b7d46e892266a0ed6dbe57802858be
6 Link https://gist.github.com/YLChen-007/7146f45960f79bc1e2976fed526e0a9b
7 Link https://vuldb.com/?ctiid.353840
8 Link https://vuldb.com/?id.353840
9 Link https://vuldb.com/?submit.777623
10 Link https://vuldb.com/?submit.777643
11 Link https://vuldb.com/?submit.777644