关键信息 漏洞名称: Wild Pointer Dereference in CVE ID: CVE-2025-62609 严重性: Low 影响版本 受影响版本: <=0.29.3 修复版本: 0.29.4 漏洞描述 摘要: 在加载恶意GGUF文件时, 中会发生段错误。来自外部gguf lib库的未受信任指针在未验证的情况下被解引用,导致应用程序崩溃。 环境: - OS: Ubuntu 20.04.6 LTS - 编译器: Clang 19.1.7 漏洞位置: - 具体函数: 在第59-79行 - 可能导致漏洞的 在第64-67行 - 被 第177行调用 漏洞代码示例 可能的修复方案 影响 攻击向量: 恶意GGUF文件(通常是来自不受信任的源的模型权重) 影响: 所有平台上使用不安全输入调用该漏洞方法的MLX用户。 结果: 段错误(无法通过异常处理器捕获) 证明概念(PoC)和AddressSanitizer输出 描述了重现漏洞的具体步骤和代码片段,以及AddressSanitizer记录的致命信号和堆栈跟踪。 发现者 Markiyan Melnyk Mykyta Mudryi Markiyan Chaklosh