CVE-2025-43849 in Retrieval-based-Voice-Conversion-WebUIالمعلومات

الملخص

بحسب VulDB • 13/06/2026

Retrieval-based-Voice-Conversion-WebUI هو إطار عمل لتغيير الصوت يعتمد على VITS. الإصدارات 2.2.231006 والإصدارات الأقدم معرضة لخطر عدم التسلسل غير الآمن (unsafe deserialization). تأخذ المتغيرات `ckpt_a` و `cpkt_b` مدخلات المستخدم (مثل مسار نموذج) وتنقلها إلى دالة الدمج (`merge`) في الملف `process_ckpt.py`، والتي تستخدم هذه المدخلات لتحميل النماذج الموجودة على تلك المسارات باستخدام `torch.load`. يمكن أن يؤدي ذلك إلى حدوث عدم تسلسل غير آمن والتنفيذ عن بُعد للكود (RCE). اعتباراً من وقت النشر، لا توجد تصحيحات معروفة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

17/04/2025

إفشاء

05/05/2025

الاعتدال

تمت الموافقة

إدخال

VDB-307494

EPSS

0.00762

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!