CVE-2026-31251 in CosyVoice情報

要約

〜によって VulDB • 2026年05月12日

CosyVoice fino alla commit 6e01309e01bc93bbeb83bdd996b1182a81aaf11e (2025-30-21) presenta una vulnerabilità di deserializzazione insicura (CWE-502) nel suo componente del server gRPC. Quando il server viene avviato, carica il modello di sintesi vocale da una directory specificata dall'utente utilizzando torch.load() senza abilitare il parametro di sicurezza weights_only=True. Ciò consente la deserializzazione di oggetti Python arbitrari tramite il modulo pickle. Un attaccante può sfruttare questa vulnerabilità fornendo file di modello dannosi all'interno di una directory. Quando una vittima avvia il server gRPC puntando a questa directory, codice arbitrario viene eseguito sul sistema della vittima durante l'inizializzazione del server.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

MITRE

予約する

2026年03月09日

モデレーション

承諾済み

エントリ

VDB-362674

EPSS

0.00041

KEV

いいえ

アクティビティ

非常低い

ソース

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-31251
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-31251
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-31251/

概要

Might our Artificial Intelligence support you?

Check our Alexa App!