G.O.S.S.I.P 阅读推荐 2025-06-09 分享Huntr上的几个大模型框架的漏洞

主要观点总结

文章介绍了作者在浏览Huntr时发现的几个漏洞，包括大模型框架上的漏洞和微软深度学习训练加速框架DeepSpeed中的命令注入漏洞。文章还讨论了漏洞的发现、报告和确认过程，以及静态分析工具在漏洞检测中的误报问题。

关键观点总结

关键观点1: CVE-2024-12910漏洞

这是一个出现在llama_index知识库内容读取模块中的漏洞，涉及递归地从网页链接中查找文章URL。递归调用没有深度限制和URL去重机制，可能导致死循环。

关键观点2: CVE-2025-1752漏洞

这个漏洞是对CVE-2024-12910漏洞修复过程中的一个问题，由于开发者硬编码了递归访问次数限制变量，但未能正确在循环中使用，导致被bug hunter发现。

关键观点3: CVE-2024-43497漏洞

这是DeepSpeed框架中的一个命令注入漏洞。check_for_libaio_pkg函数中的subprocess.Popen调用存在风险，攻击者可以通过污染PATH路径或劫持pkgmgr来控制执行内容。

关键观点4: 静态分析工具的挑战

文章讨论了静态分析工具的误报问题，以及在实际应用场景下评估漏洞的重要性。例如，一个路径遍历漏洞报告在Apache/Spark中，但由于用户权限和利用场景的问题，被认为不是真正的漏洞。

免责声明