CVE-2026-31218 漏洞总结 漏洞概述 漏洞编号:CVE-2026-31218 漏洞类型:不安全的反序列化(CWE-502) 受影响组件: 项目中的 脚本 触发条件:当加载模型状态字典( )时,未启用 安全参数 攻击方式:攻击者可构造恶意 文件,通过 加载,利用 Pickle 模块反序列化任意 Python 对象,导致远程代码执行(RCE) 影响范围 受影响产品: 项目(具体版本未明确,但提及 commit ,日期 2024-07-21) 风险等级:高危(可导致远程代码执行) 利用前提:需控制或诱导用户加载来自不可信来源的 文件 修复方案 推荐措施:在调用 时,始终设置 参数,以限制仅加载权重数据,禁止反序列化任意对象。 示例修复代码: 其他建议: - 避免从不可信来源加载 文件。 - 对输入文件进行校验和签名验证。 - 使用沙箱环境运行模型加载逻辑。 > 注:当前状态为 RESERVED,等待公开引用后正式分配。