CVE-2025-13715: CWE-502: 腾讯 FaceDetection-DSFD 中不受信数据的反序列化

严重性：高 类型：漏洞 CVE: CVE-2025-13715

腾讯 FaceDetection-DSFD resnet 端点存在“不受信数据反序列化远程代码执行漏洞”。该漏洞允许远程攻击者在受影响的 Tencent FaceDetection-DSFD 安装上执行任意代码。利用此漏洞需要用户交互，即目标必须访问恶意页面或打开恶意文件。

具体缺陷存在于 resnet 端点中。该问题源于缺乏对用户提供数据的适当验证，可能导致不受信数据的反序列化。攻击者可利用此漏洞在 root 权限上下文中执行代码。该漏洞编号为 ZDI-CAN-27197。

技术摘要

CVE-2025-13715 标识了腾讯 FaceDetection-DSFD 产品中的一个严重漏洞，具体位于 resnet 端点，该处会发生不受信数据的反序列化。此漏洞源于在反序列化（一个从字节流重建数据对象的过程）之前未能正确验证用户提供的输入。一旦被利用，攻击者可以制作恶意的序列化数据，该数据在反序列化时会触发目标系统上的任意代码执行。该漏洞需要用户交互，例如访问恶意网页或打开恶意文件，以传递精心构造的有效负载。成功利用将使攻击者获得 root 级别权限，从而实现完整的系统入侵，包括数据窃取、系统操控或部署更多恶意软件。

CVSS 3.0 评分为 7.8，属于高严重性等级，攻击向量为本地（AV:L），攻击复杂度低（AC:L），无需权限（PR:N），需要用户交互（UI:R），范围未改变（S:U），并对机密性、完整性和可用性产生高影响（C:H/I:H/A:H）。目前尚无已知的公开漏洞利用程序，但该漏洞由 ZDI 预留并发布，编号为 CAN-27197。受影响的版本由特定的提交哈希标识，表明需要进行版本验证。此漏洞归类于 CWE-502，涉及导致远程代码执行的不安全反序列化。鉴于其具备 root 级别执行潜力，此缺陷对任何 Tencent FaceDetection-DSFD 的部署都构成严重风险，尤其是在处理不受信输入或暴露于外部用户的环境中。

潜在影响

对于欧洲组织而言，CVE-2025-13715 的影响是重大的，因为它可能导致攻击者获得 root 权限从而完全控制系统。在人脸识别、安全或身份验证系统中使用 Tencent FaceDetection-DSFD 的组织可能面临数据泄露、未经授权的访问以及关键服务中断。该漏洞可能被利用来部署勒索软件、窃取敏感的 biometric（生物特征）数据或横向移动到其他网段。考虑到需要用户交互，网络钓鱼或社会工程学活动可能被用来触发漏洞利用。对机密性、完整性和可用性的高影响意味着受影响的系统可能遭受数据丢失、被操控或服务中断。这对于欧洲的政府、金融、医疗保健和关键基础设施等行业尤其令人担忧，因为这些行业中人脸识别技术正日益普及。目前缺乏已知漏洞利用程序为主动缓解提供了一个时间窗口，但未来被利用的风险仍然很高。此外，如果因此漏洞导致生物特征数据泄露，GDPR 等法规遵从性要求可能会施加处罚。

缓解建议

1. 验证并将 Tencent FaceDetection-DSFD 升级到最新的已修复版本（一旦可用）；密切监控供应商公告。
2. 对所有进入 resnet 端点的数据实施严格的输入验证和清理，以防止处理恶意的序列化数据。
3. 通过网络分段、防火墙规则和访问控制限制对易受攻击的 resnet 端点的访问，以减少暴露给不受信用户。
4. 采用应用层安全控制，例如配置为检测和阻止可疑反序列化模式的 Web 应用防火墙（WAF）。
5. 教育用户了解与不受信文件或链接交互的风险，以降低用户交互被成功利用的可能性。
6. 监控日志和网络流量中可能表明漏洞利用尝试的异常活动，包括意外的反序列化错误或权限提升。
7. 考虑部署运行时应用程序自我保护（RASP）或端点检测与响应（EDR）解决方案，以实时检测和缓解漏洞利用尝试。
8. 定期进行专注于反序列化漏洞和输入处理的安全评估和渗透测试。
9. 建立针对此漏洞的特定事件响应计划，以便快速遏制和修复任何利用行为。
10. 尽可能限制 FaceDetection-DSFD 服务的权限，以减少被利用时的影响。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、瑞典、波兰

来源： CVE Database V5 发布日期： 2025年12月23日，星期二

技术详情

• 数据版本： 5.2
• 分配者简称： zdi
• 预留日期： 2025-11-25T21:53:11.926Z
• Cvss 版本： 3.0
• 状态： 已发布
• 威胁ID： 694b0d93d69af40f312d387e