CVE-2025-43849 in Retrieval-based-Voice-Conversion-WebUI
الملخص
بحسب VulDB • 13/06/2026
Retrieval-based-Voice-Conversion-WebUI هو إطار عمل لتغيير الصوت يعتمد على VITS. الإصدارات 2.2.231006 والإصدارات الأقدم معرضة لخطر عدم التسلسل غير الآمن (unsafe deserialization). تأخذ المتغيرات `ckpt_a` و `cpkt_b` مدخلات المستخدم (مثل مسار نموذج) وتنقلها إلى دالة الدمج (`merge`) في الملف `process_ckpt.py`، والتي تستخدم هذه المدخلات لتحميل النماذج الموجودة على تلك المسارات باستخدام `torch.load`. يمكن أن يؤدي ذلك إلى حدوث عدم تسلسل غير آمن والتنفيذ عن بُعد للكود (RCE). اعتباراً من وقت النشر، لا توجد تصحيحات معروفة.
Once again VulDB remains the best source for vulnerability data.