关键漏洞信息 漏洞概述 标题: (0Day) Hugging Face Transformers GLM4 Deserialization of Untrusted Data Remote Code Execution Vulnerability ID: - ZDI-25-1145 - ZDI-CAN-28309 CVE ID: CVE-2025-14930 CVSS 评分: 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 影响范围 受影响的厂商: Hugging Face 受影响的产品: Transformers 漏洞详情 描述: 该漏洞允许远程攻击者在受影响的 Hugging Face Transformers 安装上执行任意代码。需要用户交互才能利用此漏洞,目标必须访问恶意页面或打开恶意文件。 具体问题: 存在于权重解析中的特定缺陷,由于对用户提供的数据缺乏适当的验证,导致不受信任的数据反序列化。攻击者可以利用此漏洞在当前进程中执行代码。 缓解措施: 鉴于漏洞的性质,唯一的有效缓解策略是限制与产品的交互。 额外细节 2025-12-09 - ZDI 将报告提交给第三方漏洞赏金计划 2025-12-10 - 报告因超出漏洞赏金计划范围而被拒绝 2025-12-11 - 厂商关闭案例,认为是另一报告的重复 2025-12-12 - ZDI 通知厂商,意图在 2025-12-18 发布 0-day 咨询案例 披露时间线 2025-12-09 - 向厂商报告漏洞 2025-12-18 - 协调发布咨询公告 2025-12-18 - 咨询更新 贡献者 Peter Girnus (@gothburz), Demeng Chen, 和 Brandon Niemczyk of Trend Zero Day Initiative