security: track ignored CVE-2026-1839 until upstream fix

[arn0ld87]

Package: transformers==4.57.6
Pinned by: sentence-transformers==3.0.0 (limits transformers<5)

Risk: Medium — HuggingFace transformers, used via sentence-transformers for embeddings.

Target: Upgrade to transformers>=4.58.0 once sentence-transformers relaxes the pin.

Deadline: 2026-07-30 (+90 days)

Action: Monitor sentence-transformers releases for transformers pin relaxation. Re-run pip-audit after each dependency update.

[arn0ld87]

Fresh re-evaluation on 2026-05-10:

• cd backend && uv lock --dry-run --upgrade-package transformers reports No lockfile changes detected.
• Current lock still has transformers==4.57.6 and sentence-transformers==3.0.0 via backend/uv.lock.
• pip-audit --strict still reports CVE-2026-1839 for transformers==4.57.6 with fixed version 5.0.0rc3.
• Installed metadata confirms blocker: sentence-transformers==3.0.0 requires transformers>=4.34,<5.0.0.

Status remains upstream-blocked. Minimal next step: monitor sentence-transformers releases, then remove the matching --ignore-vuln entry and update docu/dependency-risk-register.md once transformers>=5.0.0rc3 is resolvable.

[google-labs-jules]

Jules is on it. When finished, you will see another comment and be able to review a PR.

[google-labs-jules]

Ready for a review! A PR has been created.

[arn0ld87]

pip-audit-Rerun (2026-05-14): CVE-2026-1839 ist weiterhin aktiv in transformers==4.57.6 (Fix: >=5.0.0rc3). sentence-transformers pin verhindert Upgrade. Issue bleibt offen bis die Dependency-Kette ein Upgrade erlaubt.

[arn0ld87]

Update (2026-05-19) — Recherche-Korrektur:

Cross-validation (codex + context7 + Agora-Code-Audit) liefert drei Korrekturen am ursprünglichen Issue-Body:

1. Falsche Fix-Annahme: transformers>=4.58.0 existiert nicht. Es gibt keinen 4.x-Backport für CVE-2026-1839. Der OSV-Fix war zunächst 5.0.0rc3 — inzwischen ist transformers 5.4.0 stable released (context7-Versionen: v5.0.0, v5.2.0, v5.3.0, v5.4.0). Neuer Ziel-Pin: >=5.4.0,<6.

2. Verwundbare API (für den Audit-Trail): Trainer._load_rng_state() via torch.load(weights_only=False) → Pickle-Deserialization-RCE bei manipulierten rng_state.pth-Checkpoints (GHSA-69w3-r845-3855). Patch-Commit: huggingface/transformers@03c8082.

3. Echte Bedrohungs-Surface in Agora: 0. grep + CRG-Audit über backend/app/**/*.py (2026-05-19):

   • Kein direkter transformers-Import
   • Kein Trainer-Pfad, kein from_pretrained, kein Checkpoint-Resume
   • Einzige Nennung: Warning-Filter in backend/app/__init__.py:26
   • transformers lebt nur transitiv unter sentence-transformers, das wir für Embeddings nutzen — und sentence-transformers nutzt keinen Trainer.

Blocker für den Bump: Issue #263 (Vector-Index-Dim-Drift + IF NOT EXISTS-Index-Falle). Major-Bump 4.57 → 5.4 + sentence-transformers 4.1 → 5.2 kann Embedding-Output-Drift verursachen. Ohne #263-Drop-Playbook würde der Bump in einen Neo4j-Index-Mismatch laufen.

Geplanter Slice (nach #263):

• Worktree fix/124-transformers-v5-bump
• transformers>=5.4.0,<6 + sentence-transformers>=5.2.0,<6 (lift <5-Pin)
• uv lock + Embedding-Smoke (byte-identische Vectors für Referenz-Input)
• OASIS/CAMEL-Smoke (tokenizer-Verträglichkeit)
• Falls Embedding-Drift: Index-Drop + Re-Embed-Migration im selben PR

Bis dahin: Risk bleibt Low/Medium, Mitigation = keine HF-Checkpoints/Trainer-Resume im Backend, Hardstop unverändert 2026-07-30.

Breaking Changes laut context7 (transformers v5 Migration Guide): Removals von encode_plus, as_target_tokenizer, prepare_seq2seq_batch, build_inputs_with_special_tokens, prepare_for_model, truncate_sequences. Agora ruft nichts davon → Direkt-Impact 0, Restrisiko nur via sentence-transformers, das mit >=5.2.0 migriert ist.