发布日期：2025-06-26
更新日期：2025-08-28

受影响系统：

hoshi-hiyouga LLama Factory ＜= 0.9.3

描述：

---

CVE(CAN) ID: CVE-2025-53002

LLaMA-Factory是中国hoshi-hiyouga个人开发者的一个微调大型语言模型。
LLaMA-Factory 0.9.3及之前版本存在代码注入漏洞，该漏洞源于vhead_file加载不当，攻击者可利用该漏洞通过WebUI界面传递恶意的检查点路径参数，便能在主机系统上执行任意恶意代码。

<**>

建议：

---

厂商补丁：

hoshi-hiyouga
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/hiyouga/LLaMA-Factory/releases

浏览次数：28
严重程度：0（网友投票）