从网页截图中获取到的关于漏洞的关键信息如下: 漏洞标题: - Tencent NeuralNLP-NeuralClassifier _load_ checkpoint Deserialization of Untrusted Data Remote Code Execution Vulnerability 漏洞标识: - ZDI-25-1033 - ZDI-CAN-27184 - CVE-2025-13708 CVSS 评分: - 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) 受影响的供应商: - Tencent 受影响的产品: - NeuralNLP-NeuralClassifier 漏洞细节: - 该漏洞允许远程攻击者在受影响的Tencent NeuralNLP-NeuralClassifier安装上执行任意代码。利用此漏洞需要用户交互。 - 具体的漏洞存在于_load_ checkpoint函数中,由于对用户提供的数据缺乏适当的验证,导致未受信任数据的反序列化。攻击者可以利用此漏洞以root权限执行代码。 额外细节: - Tencent已经发布了更新以修复此漏洞。更多详细信息可以在以下链接找到: - 披露时间轴: - 2025-05-22 - 漏洞报告给供应商 - 2025-12-01 - 协调发布的漏洞公告 - 2025-12-01 - 顾问更新 致谢: - Peter Girnus (@gothburz) from Trend Zero Day Initiative