Vulnerabilidad en ModelCache para LLM (CVE-2025-45146)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
11/08/2025
Última modificación:
17/10/2025
Descripción
Se descubrió que ModelCache para LLM hasta la versión v0.2.0 contenía una vulnerabilidad de deserialización a través del componente /manager/data_manager.py. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario mediante el suministro de datos manipulados.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:codefuse:modelcache:*:*:*:*:*:*:*:* | 0.2.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/EDMPL/Vulnerability-Research/blob/main/CVE-2025-45146/README.md
- https://github.com/codefuse-ai/ModelCache/blob/e053e0d57b532d4ad9378d2f31bb85a009b77d64/modelcache/manager/data_manager.py#L84C1-L84C43
- https://github.com/codefuse-ai/ModelCache/blob/e053e0d57b532d4ad9378d2f31bb85a009b77d64/modelcache/manager/factory.py#L18C1-L18C71
- https://pytorch.org/docs/stable/generated/torch.load.html