Обнаружена уязвимость Denial of Service (ReDoS) в библиотеке huggingface/transformers, в частности в файле tokenization_nougat_fast.py. Уяз…
Обнаружена уязвимость Denial of Service (ReDoS) в библиотеке huggingface/transformers, в частности в файле tokenization_nougat_fast.py. Уязвимость возникает в функции post_process_single(), где регулярное выражение обрабатывает специально подготовленный ввод. Проблема связана с тем, что регулярное выражение демонстрирует экспоненциальную временную сложность в определённых условиях, что приводит к чрезмерному возврату. Это может привести к значительно высокому использованию процессора и потенциальной недоступности приложения, эффективно создавая сценарий Denial of Service (DoS). Затронутые версии: v4.46.3 (последняя).
Продукт использует регулярное выражение с неэффективной, возможно экспоненциальной вычислительной сложностью в худшем случае, что ведёт к избыточному потреблению ресурсов CPU.
https://cwe.mitre.org/data/definitions/1333.html →Открыть в коллекции CWE →Злоумышленник может реализовать атаку на программу, использующую неэффективную реализацию регулярных выражений (Regex), подобрав входные данные, приводящие к крайне неблагоприятному сценарию работы Regex. Типичный крайний сценарий характеризуется экспоненциальным временем работы относительно размера входных данных. Это объясняется тем, что большинство реализаций использует недетерминированный конечный автомат (NFA) в качестве основы алгоритма Regex, поскольку NFA допускает обратный просмотр и тем самым поддерживает более сложные регулярные выражения.
https://capec.mitre.org/data/definitions/492.html →Открыть в коллекции CAPEC →