Investigadores de ciberseguridad han detallado una falla de seguridad crítica que afecta a LeRobot, la plataforma robótica de código abierto de Hugging Face, que cuenta con aproximadamente 24.000 estrellas de GitHub. Esto podría aprovecharse para conducir a la ejecución remota de código.
La vulnerabilidad en cuestión es CVE-2026-25874 (puntuación CVSS: 9,3), que se describe como un caso de deserialización de datos no confiables debido al uso de un formato pickle inseguro.
Según el aviso de GitHub para esta falla, «LeRobot contiene una vulnerabilidad de deserialización insegura en el proceso de inferencia asíncrona. La vulnerabilidad usa pickle.loads() para deserializar los datos recibidos a través de un canal gRPC no autenticado sin usar TLS en el servidor de políticas y los componentes del cliente del robot».
«Un atacante no autenticado y accesible en la red podría ejecutar código arbitrario en el servidor o cliente enviando una carga útil de pickle diseñada a través de una llamada gRPC SendPolicystructs, SendObservations o GetActions».
Según Resecurity, el problema es causado por un componente de inferencia asincrónica de PolicyServer que permite a un atacante no autenticado acceder al puerto de red de PolicyServer, enviar una carga serializada maliciosa y ejecutar comandos arbitrarios del sistema operativo en la máquina host que ejecuta el servicio.
La firma de ciberseguridad dijo que la vulnerabilidad era «peligrosa» porque el servicio está diseñado para sistemas de inferencia de inteligencia artificial y tiende a ejecutarse con privilegios elevados para acceder a redes internas, conjuntos de datos y costosos recursos informáticos. Si un atacante la explota, esta falla podría permitir una amplia gama de acciones, que incluyen:
Ejecución remota de código no autenticado Compromiso total del host de PolicyServer Impacto en los robots conectados Robo de datos confidenciales como claves API, credenciales SSH y archivos de modelo Movimiento lateral a través de la red Genera riesgos de seguridad física al bloquear servicios, corromper modelos o interrumpir operaciones
Valentin Lobstein, investigador de seguridad de VulnCheck, descubrió y publicó detalles de la falla la semana pasada, diciendo que fue validada exitosamente contra la versión 0.4.3 de LeRobot. Este problema no está parcheado actualmente, pero se solucionará en la versión 0.6.0.
Curiosamente, otro investigador que trabajaba bajo el alias en línea ‘chenpinji’ informó de forma independiente sobre la misma falla en diciembre de 2025. El equipo de LeRobot respondió a principios de enero de este año, reconociendo los riesgos de seguridad y señalando que «la implementación original fue experimental y requirió una refactorización casi completa de partes del código base».
«Dicho esto, LeRobot ha sido principalmente una herramienta de investigación y creación de prototipos, por lo que hasta ahora no se ha centrado en la seguridad de la implementación», dijo Steven Palma, líder técnico del proyecto. «A medida que LeRobot siga siendo adoptado e implementado en entornos de producción, prestaremos más atención a este tipo de problemas. Afortunadamente, al ser un proyecto de código abierto, la comunidad también puede ayudar informando y remediando vulnerabilidades».
Este hallazgo resalta una vez más los peligros de usar el formato pickle, que abre la puerta a ataques de ejecución de código arbitrario simplemente cargando un archivo especialmente diseñado.
«La ironía aquí no puede ser exagerada», señaló Lobstein. «Hugging Face creó Safetensor, un formato de serialización diseñado específicamente porque los pickles son peligrosos para los datos de ML. Sin embargo, el marco del robot propietario deserializa las entradas de red controladas por el atacante con pickle.loads(), con un comentario # nosec que silencia las herramientas que intentan alertar».
Source link
