Tencent PatrickStar merge_checkpoint反序列化远程代码执行漏洞深度解析

本文详细分析了腾讯PatrickStar中merge_checkpoint端点存在的反序列化漏洞。攻击者通过构造恶意页面或文件,可在目标系统上以root权限执行任意代码,CVSS评分为7.8。漏洞源于对用户输入数据缺乏充分验证。

ZDI-25-1034 | 零日倡议

通告详情

2025年12月1日 腾讯PatrickStar merge_checkpoint端点因不可信数据反序列化导致远程代码执行漏洞 ZDI-25-1034 ZDI-CAN-27182

CVE ID CVE-2025-13706

CVSS 评分 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

受影响的厂商 腾讯

受影响的产品 PatrickStar

漏洞详情 此漏洞允许远程攻击者在受影响的腾讯PatrickStar安装上执行任意代码。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。 具体缺陷存在于 merge_checkpoint 端点。该问题源于对用户提供的数据缺乏适当的验证,可能导致不可信数据的反序列化。攻击者可利用此漏洞以 root 权限执行代码。

补充详情 腾讯已发布更新以修复此漏洞。更多详情请访问: https://github.com/Tencent/PatrickStar/commit/2384535503ea98cfe35ad04e20c0cfc7bf58d5d7

披露时间线

  • 2025年5月29日 - 向厂商报告漏洞
  • 2025年12月1日 - 协调公开发布安全通告
  • 2025年12月1日 - 通告更新

致谢 趋势科技零日倡议团队的 Peter Girnus (@gothburz)

返回通告列表

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次