CVE-2025-52645 CVSS 1.9 低危

CVE-2025-52645: HCL AION 模型打包完整性验证不足漏洞

披露日期: 2026-03-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-52645

漏洞类型

完整性验证不足/供应链安全

CVSS评分

1.9 低危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

HCL AION

漏洞概述

HCL AION是一款企业级人工智能平台，专注于模型训练和部署。2026年3月披露的CVE-2025-52645漏洞源于模型打包和分发过程中缺乏充分的真实性验证机制。攻击者可能通过篡改模型工件或注入恶意代码，利用供应链环节的安全缺陷进行攻击。该漏洞的CVSS评分为1.9，属于低危级别，但可能对系统完整性造成潜在威胁。

技术细节

漏洞存在于模型打包和分发流程中，攻击者可利用路径遍历或中间人攻击技术，在模型传输过程中注入恶意代码。由于缺少加密签名验证和完整性校验机制，受污染的模型可能被部署到生产环境中，导致非预期的系统行为或数据泄露风险。

攻击链分析

STEP 1

步骤1

攻击者获取模型工件访问权限

STEP 2

步骤2

注入恶意代码或修改模型参数

STEP 3

步骤3

通过供应链传播受污染的模型

STEP 4

步骤4

在部署时绕过安全验证

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

暂无公开的PoC代码

影响范围

HCL AION < 2.0.1

防御指南

临时缓解措施

立即升级到最新版本，启用模型签名验证功能

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表