CVE-2025-62373 in pipecatinformation

Résumé

par VulDB • 26/05/2026

Pipecat est un framework Python open-source pour la création d'agents conversationnels vocaux et multimodaux en temps réel. Les versions 0.0.41 à 0.0.93 présentent une vulnérabilité dans `LivekitFrameSerializer`, une classe de sérialisation de trames (frame serializer) optionnelle, non activée par défaut, non documentée (et désormais dépréciée), destinée à l'intégration avec LiveKit. La méthode `deserialize()` de cette classe utilise `pickle.loads()` de Python sur les données reçues des clients WebSocket sans aucune validation ni sanitisation. Cela signifie qu'un client WebSocket malveillant peut envoyer une charge utile pickle truquée pour exécuter du code arbitraire sur le serveur Pipecat. Le code vulnérable se trouve dans `src/pipecat/serializers/livekit.py` (vers la ligne 73), où les données des messages WebSocket non fiables sont transmises directement à `pickle.loads()` pour la désérialisation. Si un serveur Pipecat est configuré pour utiliser `LivekitFrameSerializer` et écoute sur une interface externe (par exemple 0.0.0.0), un attaquant sur le réseau (ou sur Internet si le service est exposé) pourrait obtenir une exécution de code à distance (RCE) sur le serveur en envoyant une charge utile pickle malveillante. La version 0.0.94 contient une correction. Les utilisateurs de Pipecat devraient éviter ou remplacer la désérialisation non sécurisée et améliorer la configuration de la sécurité réseau. La meilleure mesure d'atténuation consiste à cesser complètement d'utiliser le `LivekitFrameSerializer` vulnérable. Ceux qui ont besoin de la fonctionnalité LiveKit devraient mettre à niveau vers la dernière version de Pipecat et passer au `LiveKitTransport` recommandé ou à une autre méthode sécurisée fournie par le framework. De plus, respectez toujours les bonnes pratiques de codage sécurisé : ne faites jamais confiance aux données fournies par le client et évitez l'utilisation de pickle Python (ou d'autres mécanismes de désérialisation non sécurisés similaires) dans les composants exposés au réseau.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

10/10/2025

Divulgation

23/04/2026

Modérer

accepté

Entrée

VDB-359147

CPE

prêt

EPSS

0.00875

KEV

non

Activités

très faible

Secteur

Education, Transportation, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-62373
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-62373
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-62373/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!