关键漏洞信息 漏洞概述 CVE ID: CVE-2025-50460 状态: RESERVED 描述: 在 项目中,由于使用了不安全的 方法和易受攻击的 PyYAML 库版本(<= 5.3.1),存在远程代码执行(RCE)漏洞。攻击者可以通过控制传递给 参数的 YAML 配置文件内容来执行任意代码。 影响范围 项目: modelscope/ms-swift 受影响版本: 最新版本 文件: tests/run.py 依赖项: PyYAML <= 5.3.1 漏洞代码 概念验证 (PoC) 1. 创建恶意 YAML 文件 ( ) 2. 使用易受攻击的 PyYAML 版本运行 缓解措施 将 替换为 升级 PyYAML 至 5.4 或更高版本 示例修复 CVE 状态 CVSS 分数: TBD CWE: CWE-502: 反序列化不受信任的数据 报告日期: 2025-06-25 披露日期: 2025-07-30 受影响版本: 最新版本 修复版本: 未指定 发现者 发现者: Yu Rong 和 Hao Fan 联系邮箱: fanchaorongyu020221@gmail.com