漏洞关键信息 漏洞名称: oobabooga text-generation-webui trust_remote_code Reliance on Untrusted Inputs Remote Code Execution Vulnerability ZDI ID: ZDI-25-982 ZDI-CAN ID: ZDI-CAN-26681 CVE ID: CVE-2025-12487 CVSS Score: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) 受影响的厂商: oobabooga 受影响的产品: text-generation-webui 漏洞详情 描述: 该漏洞允许远程攻击者在受影响的 oobabooga text-generation-webui 安装上执行任意代码。利用此漏洞不需要进行身份验证。 具体问题: 在处理传递给 join 端点的 trust_remote_code 参数时存在特定漏洞。问题源于在使用用户提供的参数加载模型之前未进行适当的验证。攻击者可以利用此漏洞以服务帐户的上下文执行代码。 其他细节 补丁: oobabooga 已发布更新来修复此漏洞。更多信息可在 GitHub Commit 中找到。 披露时间线 2025-03-13: 漏洞报告给厂商 2025-10-30: 协调公开发布咨询公告 2025-10-30: 咨询公告更新 致谢 Nicholas Zubrisky (@NZubrisky) of Trend Micro Security Research