LLaMA-Factory远程代码执行漏洞CVE-2025-53002

LLaMA-Factory，全称Large Language Model Factory，即大型语言模型工厂，LLaMA Factory是一款强大的开源低代码大模型微调框架。

它支持多种预训练模型和微调算法，提供完整工具和接口，用户可轻松地对预训练的模型进行定制化的训练和调整，以适应特定应用场景。

一、基本情况

LLaMA-Factory作为一个功能非常强大且高效的大模型微调框架，以其用户友好的界面以及丰富的功能特性，为开发者提供了极大的便利。

LLaMA-Factory为开发者提供了一个简便、高效的工具，以便于在现有的预训练模型基础上，快速适应特定任务需求，从而提升模型表现。

栋科技漏洞库关注到LLaMA-Factory中存在一个远程代码执行漏洞，该漏洞现已被追踪为CVE-2025-53002，漏洞的CVSS 3.1评分为8.3。

栋科技漏洞库关注到LLaMA-Factory中存在一个远程代码执行漏洞，该漏洞现已被追踪为CVE-2025-53002，漏洞的CVSS 3.1评分为8.3。

二、漏洞分析

CVE-2025-53002是针对大型语言模型调优库LLaMA-Factory中存在的漏洞，是对Llama Factory训练过程中发现的关键远程代码执行漏洞。

该漏洞源于在训练过程中，'vhead_file'参数在加载模型时未使用安全参数（Checkpoint path WebUI vhead_file weights_only=True）所致。

这就使得恶意攻击者只需要通过 WebUI 界面的接口传递"Checkpoint路径”恶意参数恶意，就可以直接在主机系统上执行任意的恶意代码。

这里需要特别提醒和注意的是，在torch版本<2.6中，默认设置是weights_only=False，而Llama Factory的setup.py则只需要torch>=2.0.0。

很显然，这种攻击是非常隐秘的，因为受害者仍然不知道这种利用，而根本原因是加载vhead_file参数时没有安全参数weights_only=True。

远程攻击者利用该漏洞可以：在服务器上执行任意恶意代码/OS命令；危及敏感数据或升级权限；在系统中部署恶意软件或创建持久后门。

三、漏洞详情

1、在LLaMA Factory的WebUI中，当用户设置检查点路径时，它会修改传递给训练过程的adapter_name_or_path参数。

src/lamafactory/webui/runner.py中的代码

2、传递给训练过程的adapter_name_or_path，

随后在src/lamafactory/model/model_utils/valuehead.py中用于从Hugging Face获取相应的value_head.bin文件。

随后通过torch.load（）加载此文件，而不设置安全参数weights_only=True，从而导致远程代码执行。

src/lamafactory/model/model_utils/valuehead.py中的代码

四、概念验证

1、部署LLaMA Factory

2、通过WebUI界面进行远程攻击

（1）正确配置模型名称和模型路径。出于演示目的，这里使用小型模型llamafactory/tiny-random-Llama-3来加速模型加载。

2、将微调方法设置为LoRA，并将训练阶段设置为奖励建模。该漏洞是在奖励建模训练阶段专门触发的。

3、在Checkpoint路径中输入一个恶意的Hugging Face路径——在这里我们使用paulinsider/llamafactory hack。

管理员已设置登录后刷新可查看

此文件的生成方法如下（它可以执行任意攻击命令；为了演示，我们将其配置为创建一个HACKED!文件夹）。

4、单击“开始”开始培训。经过短暂的等待，HACKED!将在服务器上创建文件夹。请注意，通过此方法可以执行任意恶意代码。

详细漏洞利用的视频演示过程如下：

管理员已设置登录后刷新可查看

五、影响范围

Llama Factory <= 0.9.3

六、修复建议

Llama Factory > 0.9.4

七、参考链接

管理员已设置登录后刷新可查看