CVE-2025-14924: CWE-502: Hugging Face Transformers 中的不可信数据反序列化漏洞
严重性:高 类型:漏洞 CVE:CVE-2025-14924
Hugging Face Transformers megatron_gpt2 不可信数据反序列化远程代码执行漏洞。此漏洞允许远程攻击者在受影响的 Hugging Face Transformers 安装上执行任意代码。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。
具体缺陷存在于检查点的解析过程中。该问题源于对用户提供的数据缺乏适当的验证,可能导致不可信数据的反序列化。攻击者可利用此漏洞在当前进程的上下文中执行代码。该漏洞编号为 ZDI-CAN-27984。
技术摘要
CVE-2025-14924 是 Hugging Face Transformers 库中发现的一个反序列化漏洞,归类于 CWE-502,具体存在于 megatron_gpt2 模型检查点解析功能中。该漏洞源于对用户提供的检查点数据缺乏适当的验证,这些数据在没有充分检查的情况下被反序列化,使得攻击者能够注入恶意的序列化对象。当用户与恶意检查点交互时——无论是访问精心设计的网页还是打开恶意文件——反序列化过程都可能导致在运行进程的上下文中执行任意代码。该漏洞需要用户交互(UI:R),但不需要任何权限或身份验证,因此远程攻击者可以通过诱骗用户加载恶意数据来利用此漏洞。CVSS v3.0 评分为 7.8,反映了其高严重性,因为它可能完全破坏受影响系统的机密性、完整性和可用性。在将 Hugging Face Transformers 用于 AI/ML 模型部署的环境中,此问题尤为关键,因为攻击者可能通过执行代码来操纵模型行为、窃取敏感数据或破坏服务。目前没有相关的补丁链接,也未报告有已知的在野利用,但该漏洞于 2025 年 12 月 23 日公开披露,并被 ZDI 分配为 ZDI-CAN-27984。
潜在影响
对于欧洲组织而言,此漏洞的影响是显著的,特别是对于那些在 AI 研究、开发和生产环境中使用 Hugging Face Transformers 的组织。成功利用可能导致远程代码执行,使攻击者能够破坏机器学习基础设施、窃取知识产权、操纵 AI 模型输出或破坏关键的 AI 驱动服务。这可能影响到金融、医疗保健、汽车和电信等越来越多地集成 AI 模型的行业。用户交互的要求限制了自动化利用,但并未消除风险,因为社会工程学或恶意内容投放可能触发该漏洞。此外,被破坏的 AI 系统可能削弱对 AI 输出的信任,并导致根据 GDPR 和其他欧洲数据保护法产生的监管和合规问题。缺乏可用补丁增加了暴露时间,强调了立即采取缓解措施的必要性。
缓解建议
欧洲组织应实施以下具体缓解措施:
- 避免在 Hugging Face Transformers 环境中加载不可信或未经验证的模型检查点或序列化数据。
- 在反序列化之前,对所有检查点文件实施严格的输入验证和完整性检查(例如,加密签名)。
- 使用沙箱或容器化技术来隔离 AI 模型执行环境,限制潜在代码执行的影响。
- 监控涉及加载外部模型数据的用户交互,并教育用户打开不受信任的文件或链接的风险。
- 密切关注 Hugging Face 的更新,并在补丁可用后立即应用。
- 实施网络级控制,限制对内部 AI 基础设施的访问,并检测表明存在利用尝试的异常行为。
- 定期进行安全评估和渗透测试,重点关注 AI/ML 流水线,以识别和修复反序列化及相关漏洞。
受影响国家
德国、法国、英国、荷兰、瑞典、芬兰
来源:CVE 数据库 V5 发布日期:2025年12月23日,星期二