CVE-2025-43849 in Retrieval-based-Voice-Conversion-WebUI
Zusammenfassung
von VulDB • 12.06.2026
Retrieval-based-Voice-Conversion-WebUI ist ein auf VITS basierendes Framework zur Stimmveränderung. Die Versionen 2.2.231006 und älter sind anfällig für unsichere Deserialisierung (Unsafe Deserialization). Die Variablen `ckpt_a` und `cpkt_b` übernehmen Benutzereingaben (z. B. einen Pfad zu einem Modell) und übergeben diese an die Funktion `merge` in `process_ckpt.py`, welche sie verwendet, um die Modelle unter diesen Pfaden mit `torch.load` zu laden. Dies kann zu unsicherer Deserialisierung und Remote Code Execution (RCE) führen. Zum Zeitpunkt der Veröffentlichung sind keine bekannten Patches verfügbar.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.