CVE-2025-49835 in GPT-SoVITS
Zusammenfassung
von VulDB • 06.06.2026
GPT-SoVITS-WebUI ist eine WebUI für die Stimmkonvertierung und Text-to-Speech. In den Versionen 20250228v3 und früheren Versionen besteht eine Command-Injection-Schwachstelle in der Funktion `open_asr` von `webui.py`. Die Variable `asr_inp_dir` (sowie eine Reihe weiterer Variablen) übernimmt Benutzereingaben, die an die Funktion `open_asr` übergeben werden. Diese Funktion hängt die Benutzereingaben an einen Befehl an und führt ihn auf dem Server aus, was zu einer beliebigen Befehlsausführung (Arbitrary Command Execution) führt. Zum Zeitpunkt der Veröffentlichung sind keine gepatchten Versionen verfügbar.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.