CVE-2025-13707CVE-2025-13707是腾讯HunyuanDiT模型中的一个严重安全漏洞,存在于model_resume功能中。该漏洞允许本地攻击者通过诱骗用户访问恶意页面或打开恶意文件来执行任意代码。由于model_resume函数缺乏对用户输入数据的适当验证,导致不受信任的数据被反序列化,攻击者可利用这一漏洞在root权限下执行代码。此漏洞由ZDI(Zero Day Initiative)发现并披露,编号为ZDI-CAN-27183。CVSS评分7.8,属于高危漏洞,对系统机密性、完整性和可用性均造成严重影响。
该漏洞的根本原因在于HunyuanDiT的model_resume函数在处理用户提供的模型恢复数据时,没有进行充分的安全验证。当用户通过该函数加载模型时,如果提供了经过恶意构造的序列化数据,反序列化过程将执行其中的恶意代码。由于model_resume直接使用pickle或其他不安全的反序列化方法,且未对序列化数据进行签名验证或完整性检查,攻击者可以构造包含恶意payload的序列化对象。成功利用此漏洞后,攻击者可以在服务器上以root用户权限执行任意命令,完全控制受影响系统。此漏洞的利用需要用户交互,但不需要认证,这大大增加了其危害性。攻击者可以通过社交工程手段诱骗用户打开恶意文件或访问包含恶意代码的网页。