CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUI
الملخص
بحسب VulDB • 12/07/2026
Retrieval-based-Voice-Conversion-WebUI هو إطار عمل لتغيير الصوت يعتمد على VITS. الإصدارات 2.2.231006 والإصدارات الأقدم معرضة لخطر عدم التسلسل غير الآمن (unsafe deserialization). تأخذ المتغير `model_choose` مدخلات المستخدم (مثل مسار إلى نموذج) وتمررها إلى الدالة `uvr` الموجودة في الملف `vr.py`. داخل دالة `uvr`، إذا احتوى متغير `model_name` على السلسلة النصية "DeEcho"، يتم إنشاء مثيل جديد من فئة `AudioPreDeEcho` حيث يحتوي سمة `model_path` على مدخلات المستخدم المذكورة أعلاه. في فئة `AudioPreDeEcho`، تُستخدم مدخلات المستخدم لتحميل النموذج الموجود على ذلك المسار باستخدام دالة `torch.load`، مما قد يؤدي إلى عدم تسلسل غير آمن وتنفيذ للكود عن بُعد (RCE). اعتباراً من وقت النشر، لا توجد تصحيحات معروفة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.