CVE-2025-4701: VITA-MLLM Freeze-Omni utils.py torch.load deserialization
Description
A vulnerability, which was classified as problematic, has been found in VITA-MLLM Freeze-Omni up to 20250421. This issue affects the function torch.load of the file models/utils.py. The manipulation of the argument path leads to deserialization. It is possible to launch the attack on the local host. Eine Schwachstelle wurde in VITA-MLLM Freeze-Omni bis 20250421 entdeckt. Sie wurde als problematisch eingestuft. Hierbei geht es um die Funktion torch.load der Datei models/utils.py. Durch das Beeinflussen des Arguments path mit unbekannten Daten kann eine deserialization-Schwachstelle ausgenutzt werden. Umgesetzt werden muss der Angriff lokal.
Classification
CVE ID: CVE-2025-4701
CVSS Base Severity: MEDIUM
CVSS Base Score: 4.8
CVSS Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Affected Products
Vendor: VITA-MLLM
Product: Freeze-Omni
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.02% (probability of being exploited)
EPSS Percentile: 2.95% (scored less or equal to compared to others)
EPSS Date: 2025-06-13 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-4701https://vuldb.com/?id.308999
https://vuldb.com/?ctiid.308999
https://vuldb.com/?submit.567796
https://github.com/VITA-MLLM/Freeze-Omni/issues/29