CVE-2026-31250 in CosyVoiceinfo

Zusammenfassung

von VulDB • 24.05.2026

CosyVoice bis zum Commit 6e01309e01bc93bbeb83bdd996b1182a81aaf11e (2025-30-21) enthält eine unsichere Deserialisierungsschwachstelle (CWE-502) in seinem Modell-Averaging-Tool average_model.py. Das Skript lädt PyTorch-Checkpoint-Dateien (epoch_*.pt) für die Modell-Averaging-Funktion mit torch.load(), ohne den Sicherheitsparameter weights_only=True zu aktivieren. Dies ermöglicht die Deserialisierung beliebiger Python-Objekte über das pickle-Modul. Ein Angreifer kann dies ausnutzen, indem er bösartige Checkpoint-Dateien in einem Verzeichnis bereitstellt. Wenn ein Opfer das Tool verwendet, um Modelle aus diesem Verzeichnis zu mitteln, wird beliebiger Code auf dem System des Opfers ausgeführt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

MITRE

Reservieren

09.03.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362673

CPE

bereit

CWE

CWE-502 (bestätigt)

CVSS

5.5 (VulDB)

EPSS

0.00047

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31250
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31250
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31250/

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!