Hugging Face LeRobot に未パッチの重大脆弱性、認証なしでリモートコード実行可能

概要

Hugging Face が開発するロボティクス向けオープンソースプラットform「LeRobot」（GitHub スター数約24,000）に、認証を必要としない重大な脆弱性「CVE-2026-25874」（CVSS スコア9.3）が発見されました。この脆弱性は、信頼できないデータの逆シリアル化（データ形式の変換処理における不正なコード実行）に起因しており、攻撃者が悪用すればリモートコード実行（RCE：遠隔からサーバー上で任意のコード実行）が可能になります。LeRobot はロボット開発プロジェクトで広く使用されているため、影響範囲は多数のユーザーに及ぶ可能性があります。現在、このフローはパッチ（修正）が適用されていない状態です。

元記事（The Hacker News）