漏洞概述 标题: Missing validation of multimodal embeddings leading to DoS and potential RCE 描述: 摘要: 修复CVE-2025-42164的补丁并不充分。该修复仅默认禁用prompt嵌入,而未解决根本原因,因此当启用该功能时,DoS漏洞仍然存在。 详情: 我们的补丁尝试修复根本原因,即缺少稀疏张量验证。PyTorch(= 0.10.2, < 0.11.1 修复版本: 0.13.0 严重性: 8.9 / 10 CVSS v3 基础指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需特权: 无 - 用户交互: 无 - 范围: 未改变 - 机密性: 高 - 完整性: 高 - 可用性: 高 修复方案 当前修复: 仅添加了一个标志来禁用/启用prompt嵌入,因此默认情况下prompt嵌入功能被禁用,从而阻止通过嵌入进行的DoS攻击。然而,当启用该标志时,仍然存在潜在的DoS攻击风险。 建议: 升级到修复版本0.13.0,以彻底解决该漏洞。 POC代码 POC: NA 其他信息 CVE ID: 无 弱点: - CWE-20 - CWE-129 - CWE-502 - CWE-787 总结 该漏洞涉及多模态嵌入的缺失验证,可能导致拒绝服务(DoS)和潜在的远程代码执行(RCE)。当前修复仅禁用了prompt嵌入功能,但未彻底解决问题。建议升级到修复版本0.13.0以获得完全修复。