CVE-2026-25874: RCE critica non patchata in Hugging Face LeRobot
Una vulnerabilità critica (CVSS 9.3) affligge LeRobot. Scopri i rischi di RCE e il ritardo nella patch dopo mesi dalla segnalazione iniziale.
Contenuto
Ricercatori di sicurezza hanno diffuso i dettagli di una grave vulnerabilità di sicurezza, ancora non risolta, che affligge LeRobot, la popolare piattaforma di robotica open-source di Hugging Face. La falla, identificata come CVE-2026-25874, presenta un punteggio CVSS di 9.3 e permette l'esecuzione remota di codice (RCE) non autenticata, mettendo a rischio i sistemi di intelligenza artificiale e i dati sensibili.
Meccanismo tecnico della vulnerabilità CVE-2026-25874
Il difetto critico risiede nell'async inference pipeline di LeRobot. Secondo l'avviso di sicurezza pubblicato su GitHub, "LeRobot contains an unsafe deserialization vulnerability in the async inference pipeline, where pickle.loads() is used to deserialize data received over unauthenticated gRPC channels without TLS in the policy server and robot client components."
Questa implementazione permette a un attaccante di sfruttare le chiamate gRPC SendPolicyInstructions, SendObservations o GetActions. Tramite questi canali, privi di TLS o autenticazione, è possibile inviare payload malevoli che vengono deserializzati in modo non sicuro, portando all'esecuzione di comandi arbitrari sia sul server che sul client robotico. La vulnerabilità è stata convalidata con successo sulla versione 0.4.3 di LeRobot.
La discrepanza temporale tra segnalazione e patch
Uno degli aspetti più rilevanti di questa disclosure è il lasso di tempo intercorso tra la scoperta iniziale e la disponibilità pubblica dei dettagli, in assenza di una correzione definitiva. Sebbene la notizia sia stata diffusa il 28 aprile 2026, la problematica era stata segnalata indipendentemente dall'utente 'chenpinji' già a dicembre 2025.
Il team di sviluppo di LeRobot aveva risposto alla segnalazione a gennaio 2026, ammettendo la gravità della situazione tecnica. In quella occasione, il team aveva spiegato che "that part of the codebase needs to be almost entirely refactored as its original implementation was more experimental."
Al momento della pubblicazione dei dettagli tecnici, avvenuta il 28 aprile 2026, non esiste ancora una patch disponibile. Gli sviluppatori hanno indicato che il fix è pianificato per la versione 0.6.0 del software, lasciando nel frattempo esposti i sistemi che operano con la versione vulnerabile.
Rischi per dati e sicurezza fisica
Lo sfruttamento di questa falla ha implicazioni che vanno oltre la semplice compromissione del software. Dato che i sistemi di AI inference operano spesso con privilegi elevati per gestire hardware complesso, un attaccante potrebbe sfruttare l'RCE per rubare dati sensibili, tra cui chiavi API e credenziali SSH memorizzate nel sistema.
Inoltre, trattandosi di una piattaforma per il controllo di robot fisici, la vulnerabilità introduce rischi concreti per la sicurezza fisica. Un codice malevolo eseguito sui componenti del robot client o del PolicyServer potrebbe tradursi in comportamenti imprevisti delle macchine, con potenziali danni materiali o pericoli per l'incolumità delle persone nelle vicinanze.
Contesto del progetto e impatto potenziale
LeRobot, che ha accumulato quasi 24.000 stelle su GitHub, è uno strumento centrale per la community di sviluppatori di robotica basata su PyTorch. La diffusione della piattaforma amplifica il potenziale impatto della CVE-2026-25874, considerando che molti sviluppatori potrebbero ancora utilizzare la versione 0.4.3 nelle loro pipeline di sviluppo o in ambienti di produzione sperimentale.
La natura "sperimentale" del codice originale, citata come causa della necessità di refactoring, evidenzia un problema ricorrente nel software open-source di AI: componenti creati per prototipazione rapida spesso entrano in produzione senza le necessarie verifiche di sicurezza hardening, specialmente per quanto riguarda la deserializzazione dei dati e l'autenticazione dei canali di comunicazione.
Domande frequenti
- Qual è la gravità della vulnerabilità CVE-2026-25874?
- La vulnerabilità ha un punteggio CVSS di 9.3, classificandola come critica. Permette l'esecuzione remota di codice non autenticata tramite la deserializzazione di dati malevoli su canali gRPC non protetti.
- È disponibile una patch per LeRobot?
- Al momento della pubblicazione dei dettagli (28 aprile 2026), non è ancora disponibile una patch ufficiale. Il team di sviluppo ha pianificato la correzione per la versione futura 0.6.0.
- Quali componenti sono vulnerabili?
- I componenti vulnerabili sono il PolicyServer e i robot client che utilizzano l'async inference pipeline, dove i dati vengono deserializzati tramite pickle.loads() senza verifiche di sicurezza sui canali gRPC.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://thehackernews.com/2026/04/critical-cve-2026-25874-leaves-hugging.html
- https://news.fyself.com/unpatched-critical-flaw-exposes-hugface-lerobot-to-uncertified-rce/
- https://www.thehackerwire.com/instructlab-rce-via-malicious-huggingface-models-cve-2026-6859/
- https://unit42.paloaltonetworks.com/rce-vulnerabilities-in-ai-python-libraries/
- https://huggingface.co/docs/lerobot/index