发布日期：2026-02-02
更新日期：2026-05-21

受影响系统：

Hugging Face Text Generation Inference 3.3.6

描述：

---

CVE(CAN) ID: CVE-2026-0599

Text Generation Inference是Hugging Face开源的一个用于文本生成推理的Rust、Python和gRPC服务器。
Text Generation Inference 3.3.6版本存在不受控制的资源消耗漏洞，该漏洞源于路由会扫描输入中的Markdown图片链接，并执行阻塞式HTTP GET请求，将完整响应体读入内存并复制后再解码，未认证远程攻击者可利用该漏洞在VLM模式下，利用输入验证阶段无限制外部图片拉取进行攻击，导致资源耗尽包括网络带宽占满、内存膨胀、CPU过载。

<**>

建议：

---

厂商补丁：

Hugging Face
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/huggingface/text-generation-inference/commit/24ee40d143d8d046039f12f76940a85886cbe152

浏览次数：100
严重程度：0（网友投票）