🔥 この記事の詳細
2026-04-28 更新
B
今週中

Hugging Faceのオープンソースロボティクスプラットフォーム「LeRobot」に、認証なしでリモートコード実行(RCE)が可能な深刻な脆弱性

脆弱性🌐 英語ソース
🔢 CVECVE-2026-25874
📅 2026-04-28📰 hackernews
📌 一言でいうと
Hugging Faceのオープンソースロボティクスプラットフォーム「LeRobot」に、認証なしでリモートコード実行(RCE)が可能な深刻な脆弱性が発見されました。この脆弱性は、gRPCチャネルを介して受信したデータを安全でないpickle形式でデシリアライズすることに起因します。攻撃者は細工したペイロードを送信することで、サーバーまたはクライアント上で任意のコードを実行できる可能性があります。
🏢影響範囲
LeRobotプラットフォームを利用してロボティクス開発や推論サーバーを運用している研究機関、企業、開発者。
該当時の対応
公式のパッチ適用を待つか、信頼できないネットワークからのgRPCアクセスを遮断し、TLSによる認証・暗号化を導入することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Hugging Face LeRobot CVE-2026-25874 対応について

お疲れさまです。Hugging Face LeRobotの深刻な脆弱性に関する情報共有です。

■ 概要
LeRobotのasync inference pipelineにおいて、認証のないgRPCチャネル経由で受信したデータをpickle.loads()でデシリアライズする不備があり、リモートコード実行(RCE)が可能です。CVSSスコアは9.3と非常に高く、攻撃者は特権なしでシステムを制御できる可能性があります。

■ 影響範囲
- Hugging Face LeRobot (PolicyServer および Robot Client コンポーネント)

■ 対応手順
1. 内部ネットワークでLeRobotを利用しているサーバーおよびクライアントの有無を確認してください。
2. 外部から到達可能なgRPCポート(SendPolicyInstructions, SendObservations, GetActions等)が開放されていないか確認し、不要なアクセスを遮断してください。
3. ベンダーから修正パッチが提供され次第、速やかに適用してください。

■ 参考情報
- GitHub Advisory / CVE-2026-25874

対応優先度: 高
対応期限: 速やかに確認し、パッチ適用まで暫定的なアクセス制限を推奨
Subject: [Security Advisory] Hugging Face LeRobot CVE-2026-25874 RCE Vulnerability

Dear Team,

We are sharing critical information regarding a vulnerability in Hugging Face's LeRobot platform.

■ Overview
An unauthenticated Remote Code Execution (RCE) vulnerability (CVE-2026-25874, CVSS 9.3) has been identified. The issue is caused by unsafe deserialization of data using pickle.loads() over unauthenticated gRPC channels in the policy server and robot client components.

■ Scope
- Hugging Face LeRobot (PolicyServer and Robot Client components)

■ Mitigation Steps
1. Identify all instances of LeRobot deployed within the infrastructure.
2. Restrict network access to gRPC ports used by SendPolicyInstructions, SendObservations, and GetActions to trusted sources only.
3. Implement TLS and authentication for gRPC channels to prevent unauthenticated access.
4. Apply official security patches as soon as they become available.

■ Reference
- GitHub Advisory / CVE-2026-25874

Priority: High
Deadline: Immediate review and mitigation recommended
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-28 のまとめ🔍 記事を検索