漏洞关键信息 标题: - Tencent FaceDetection-DSFD resnet Deserialization of Untrusted Data Remote Code Execution Vulnerability ID: - ZDI-25-1183 - ZDI-CAN-27197 CVE ID: - CVE-2025-13715 CVSS Score: - 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) 受影响厂商: - Tencent 受影响产品: - FaceDetection-DSFD 漏洞详情: - 此漏洞允许远程攻击者在受影响的 Tencent FaceDetection-DSFD 安装上执行任意代码。要利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。具体缺陷存在于 resnet 端点,由于缺少对用户提供的数据的适当验证,从而导致对不可信数据的反序列化。攻击者可以利用此漏洞在 root 上下文中执行代码。 额外细节: - Tencent 已发布更新以修复此漏洞。更多信息可查阅以下链接: https://github.com/Tencent/FaceDetection-DSFD/commit/a941d089d8ae2df5292a904e79d88649cb58a440 披露时间线: - 2025-05-22: 漏洞报告给厂商 - 2025-12-23: 协调发布顾问的公开发布 - 2025-12-23: 顾问更新 贡献者: - Peter Girnus (@gothburz) of Trend Zero Day Initiative