| Title | Pipecatにおける信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| Summary | Pipecatはリアルタイム音声およびマルチモーダル会話エージェント構築のためのオープンソースPythonフレームワークです。バージョン0.0.41から0.0.93にかけて、LiveKit統合向けのオプションで非デフォルトかつ未文書化の、現在は廃止されている`LivekitFrameSerializer`クラスに脆弱性があります。このクラスの`deserialize()`メソッドは、WebSocketクライアントから受け取ったデータを検証や無害化を行わずにPythonの`pickle.loads()`に渡しています。つまり、悪意のあるWebSocketクライアントが細工されたpickleペイロードを送信することで、Pipecatサーバ上で任意のコードを実行できます。脆弱なコードは`src/pipecat/serializers/livekit.py`(約73行目)にあり、信頼できないWebSocketメッセージデータが直接`pickle.loads()`に渡されてデシリアライズされています。PipecatサーバがLivekitFrameSerializerを使用するように設定され、外部インターフェース(例: 0.0.0.0)で待ち受けている場合、ネットワーク上の攻撃者(あるいはサービスが公開されていればインターネット上の攻撃者)が悪意あるpickleペイロードを送信することでサーバのリモートコード実行(RCE)を達成できます。バージョン0.0.94でこの問題は修正されました。Pipecatの利用者は安全でないデシリアライズ処理を避けるか置き換え、ネットワークセキュリティの設定を強化すべきです。最善の対策は脆弱なLivekitFrameSerializerの使用を完全に中止することです。LiveKit機能が必要な場合は最新バージョンへのアップグレードおよび推奨される`LiveKitTransport`やフレームワーク提供の他の安全な方法への切り替えを推奨します。さらに、安全なコーディングの実践としてクライアント提供データを決して信頼せず、ネットワークに面したコンポーネントではPythonのpickle(または類似の安全でないデシリアライズ)を使用しないでください。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 23, 2026, midnight |
| Registration Date | April 30, 2026, 12:08 p.m. |
| Last Update | April 30, 2026, 12:08 p.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Pipecat |
| Pipecat 0.0.41 以上 0.0.94 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 12:08 p.m. |
| Summary | Pipecat is an open-source Python framework for building real-time voice and multimodal conversational agents. Versions 0.0.41 through 0.0.93 have a vulnerability in `LivekitFrameSerializer` – an optional, non-default, undocumented frame serializer class (now deprecated) intended for LiveKit integration. The class's `deserialize()` method uses Python's `pickle.loads()` on data received from WebSocket clients without any validation or sanitization. This means that a malicious WebSocket client can send a crafted pickle payload to execute arbitrary code on the Pipecat server. The vulnerable code resides in `src/pipecat/serializers/livekit.py` (around line 73), where untrusted WebSocket message data is passed directly into `pickle.loads()` for deserialization. If a Pipecat server is configured to use LivekitFrameSerializer and is listening on an external interface (e.g. 0.0.0.0), an attacker on the network (or the internet, if the service is exposed) could achieve remote code execution (RCE) on the server by sending a malicious pickle payload. Version 0.0.94 contains a fix. Users of Pipecat should avoid or replace unsafe deserialization and improve network security configuration. The best mitigation is to stop using the vulnerable LivekitFrameSerializer altogether. Those who require LiveKit functionality should upgrade to the latest Pipecat version and switch to the recommended `LiveKitTransport` or another secure method provided by the framework. Additionally, always follow secure coding practices: never trust client-supplied data, and avoid Python pickle (or similar unsafe deserialization) in network-facing components. |
|---|---|
| Publication Date | April 24, 2026, 1:16 a.m. |
| Registration Date | April 25, 2026, 4:06 a.m. |
| Last Update | April 30, 2026, midnight |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:pipecat:pipecat:*:*:*:*:*:*:*:* | 0.0.41 | 0.0.94 | |||