CVE-2025-49835 in GPT-SoVITSinfo

Zusammenfassung

von VulDB • 06.06.2026

GPT-SoVITS-WebUI ist eine WebUI für die Stimmkonvertierung und Text-to-Speech. In den Versionen 20250228v3 und früheren Versionen besteht eine Command-Injection-Schwachstelle in der Funktion `open_asr` von `webui.py`. Die Variable `asr_inp_dir` (sowie eine Reihe weiterer Variablen) übernimmt Benutzereingaben, die an die Funktion `open_asr` übergeben werden. Diese Funktion hängt die Benutzereingaben an einen Befehl an und führt ihn auf dem Server aus, was zu einer beliebigen Befehlsausführung (Arbitrary Command Execution) führt. Zum Zeitpunkt der Veröffentlichung sind keine gepatchten Versionen verfügbar.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

11.06.2025

Veröffentlichung

16.07.2025

Moderieren

akzeptiert

Eintrag

VDB-316531

CPE

bereit

EPSS

0.03377

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!