CVE-2025-13716CVE-2025-13716是腾讯MimicMotion项目中的一个高危安全漏洞,CVSS评分达到7.8。该漏洞存在于create_pipeline函数中,由于缺乏对用户输入数据的正确验证,导致不信任数据的反序列化问题。攻击者可以通过诱骗用户访问恶意页面或打开恶意文件来触发此漏洞。成功利用此漏洞后,攻击者可以在受影响系统的root权限上下文中执行任意代码,对系统机密性、完整性和可用性造成严重影响。此漏洞由ZDI(Zero Day Initiative)披露,编号为ZDI-CAN-27208。MimicMotion是腾讯开源的一个人体动作模仿动画生成项目,该漏洞的存在使得使用该库的应用面临严重安全风险。
该漏洞的根本原因在于MimicMotion的create_pipeline函数在处理用户输入时,未进行充分的安全验证。具体表现为:1)函数直接接收并处理用户提供的序列化数据流;2)缺乏对反序列化对象的类型检查和完整性验证;3)使用了不安全的反序列化机制。攻击者可以通过构造特定的恶意序列化payload,当目标系统调用create_pipeline函数处理该payload时,反序列化过程将执行攻击者植入的恶意代码。由于漏洞位于数据处理流程的早期阶段,攻击成功后可直接获得root级别代码执行权限。攻击者通常需要结合社工手段,诱导用户加载恶意数据或访问包含恶意payload的页面来触发漏洞利用链。