CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUIالمعلومات

الملخص

بحسب VulDB • 12/07/2026

Retrieval-based-Voice-Conversion-WebUI هو إطار عمل لتغيير الصوت يعتمد على VITS. الإصدارات 2.2.231006 والإصدارات الأقدم معرضة لخطر عدم التسلسل غير الآمن (unsafe deserialization). تأخذ المتغير `model_choose` مدخلات المستخدم (مثل مسار إلى نموذج) وتمررها إلى الدالة `uvr` الموجودة في الملف `vr.py`. داخل دالة `uvr`، إذا احتوى متغير `model_name` على السلسلة النصية "DeEcho"، يتم إنشاء مثيل جديد من فئة `AudioPreDeEcho` حيث يحتوي سمة `model_path` على مدخلات المستخدم المذكورة أعلاه. في فئة `AudioPreDeEcho`، تُستخدم مدخلات المستخدم لتحميل النموذج الموجود على ذلك المسار باستخدام دالة `torch.load`، مما قد يؤدي إلى عدم تسلسل غير آمن وتنفيذ للكود عن بُعد (RCE). اعتباراً من وقت النشر، لا توجد تصحيحات معروفة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

17/04/2025

إفشاء

05/05/2025

الاعتدال

تمت الموافقة

إدخال

VDB-307497

EPSS

0.00806

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!