CVE-2025-60455:Modular Max Serve不安全反序列化漏洞
漏洞详情
包管理器: pip
包名称: modular (pip)
受影响版本: < 25.6.0
已修复版本: 25.6.0
漏洞描述
Modular Max Serve在25.6.0之前版本中存在不安全反序列化漏洞,特别是在使用"–experimental-enable-kvcache-agent"实验性功能时,可能允许攻击者执行任意代码。
严重程度
严重级别
CVSS总体评分:9.3/10
CVSS v4基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 无
- 用户交互: 无
脆弱系统影响指标
- 机密性: 高
- 完整性: 高
- 可用性: 高
后续系统影响指标
- 机密性: 无
- 完整性: 无
- 可用性: 无
弱点分类
CWE-502: 不可信数据反序列化
产品在未充分验证结果数据有效性的情况下反序列化不可信数据。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-60455
- modular/modular#4795
- https://github.com/modular/modular/blame/main/max/serve/kvcache_agent/kvcache_agent.py#L220
- https://www.oligo.security/blog/shadowmq-how-code-reuse-spread-critical-vulnerabilities-across-the-ai-ecosystem
元数据
- CVE ID: CVE-2025-60455
- GHSA ID: GHSA-7xcv-9j6c-2fmc
- 源代码: modular/modular
- 国家漏洞数据库发布时间: 2025年11月18日
- GitHub咨询数据库发布时间: 2025年11月18日
- 最后更新时间: 2025年11月18日
EPSS评分
0.036% (第10百分位)
该评分估计此漏洞在未来30天内被利用的概率。