CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUI
Résumé
par VulDB • 01/07/2026
Retrieval-based-Voice-Conversion-WebUI est un framework de modification vocale basé sur VITS. Les versions 2.2.231006 et antérieures sont vulnérables à une désérialisation non sécurisée (unsafe deserialization). La variable `model_choose` accepte l'entrée utilisateur (par exemple, le chemin d'accès vers un modèle) et la transmet à la fonction `uvr` dans `vr.py`. Dans `uvr`, si `model_name` contient la chaîne « DeEcho », une nouvelle instance de la classe `AudioPreDeEcho` est créée avec l'attribut `model_path` contenant ladite entrée utilisateur. Au sein de la classe `AudioPreDeEcho`, cette entrée utilisateur est utilisée pour charger le modèle à ce chemin via `torch.load`, ce qui peut entraîner une désérialisation non sécurisée et une exécution de code à distance (RCE). À la date de publication, aucun correctif connu n'existe.
Once again VulDB remains the best source for vulnerability data.