CVE-2025-50472

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-50472
The modelscope/ms-swift library thru 2.6.1 is vulnerable to arbitrary code execution through deserialization of untrusted data within the `load_model_meta()` function of the `ModelFileSystemCache()` class. Attackers can execute arbitrary code and commands by crafting a malicious serialized `.mdl` payload, exploiting the use of `pickle.load()` on data from potentially untrusted sources. This vulnerability allows for remote code execution (RCE) by deceiving victims into loading a seemingly harmless checkpoint during a normal training process, thereby enabling attackers to execute arbitrary code on the targeted machine. Note that the payload file is a hidden file, making it difficult for the victim to detect tampering. More importantly, during the model training process, after the `.mdl` file is loaded and executes arbitrary code, the normal training process remains unaffected'meaning the user remains unaware of the arbitrary code execution.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/modelscope/ms-swift/blob/ab38bff0387a86fd9f068246c326ee7b0d5ed139/swift/hub/utils/caching.py#L141
https://github.com/xhjy2020/CVE-2025-50472
Configurations

No configuration.

History

04 Aug 2025, 15:06

Type Values Removed Values Added
Summary
  • (es) La librería modelscope/ms-swift hasta la versión 2.6.1 es vulnerable a la ejecución de código arbitrario mediante la deserialización de datos no confiables dentro de la función `load_model_meta()` de la clase `ModelFileSystemCache()`. Los atacantes pueden ejecutar código y comandos arbitrarios creando una payload `.mdl` serializada maliciosa, aprovechando el uso de `pickle.load()` en datos de fuentes potencialmente no confiables. Esta vulnerabilidad permite la ejecución remota de código (RCE) al engañar a las víctimas para que carguen un punto de control aparentemente inofensivo durante un proceso de entrenamiento normal, lo que permite a los atacantes ejecutar código arbitrario en el equipo objetivo. Tenga en cuenta que el archivo de payload es un archivo oculto, lo que dificulta que la víctima detecte la manipulación. Más importante aún, durante el proceso de entrenamiento del modelo, después de que el archivo `.mdl` se carga y ejecuta código arbitrario, el proceso de entrenamiento normal no se ve afectado, lo que significa que el usuario no es consciente de la ejecución del código arbitrario.

01 Aug 2025, 18:15

Type Values Removed Values Added
CWE CWE-502
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 9.8

01 Aug 2025, 16:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-08-01 16:15

Updated : 2025-08-04 15:06

NVD link : CVE-2025-50472

Mitre link : CVE-2025-50472

CVE.ORG link : CVE-2025-50472

JSON object : View

Products Affected

No product.

CWE
CWE-502

Deserialization of Untrusted Data