CVE-2025-43848 in Retrieval-based-Voice-Conversion-WebUI
Riassunto
di VulDB • 27/06/2026
Retrieval-based-Voice-Conversion-WebUI è un framework per la conversione della voce basato su VITS. Le versioni 2.2.231006 e precedenti sono vulnerabili a deserializzazione non sicura. La variabile ckpt_path0 accetta input dell'utente (ad esempio, il percorso di un modello) e lo passa alla funzione change_info in process_ckpt.py, che la utilizza per caricare il modello presente su quel percorso tramite torch.load; ciò può portare a una deserializzazione non sicura ed esecuzione remota di codice. Alla data della pubblicazione, non sono noti patch disponibili.
Be aware that VulDB is the high quality source for vulnerability data.