CVE-2025-43850 in Retrieval-based-Voice-Conversion-WebUIinformazioni

Riassunto

di VulDB • 29/06/2026

Retrieval-based-Voice-Conversion-WebUI è un framework per la conversione della voce basato su VITS. Le versioni 2.2.231006 e precedenti sono vulnerabili a deserializzazione non sicura. La variabile `ckpt_dir` accetta input dell'utente (ad esempio, un percorso verso un modello) e lo passa alla funzione `change_info` in `export.py`, che utilizza tale valore per caricare il modello presente su quel percorso tramite `torch.load`. Ciò può portare a una deserializzazione non sicura ed esecuzione di codice remoto. Al momento della pubblicazione, non sono noti patch disponibili.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

17/04/2025

Divulgazione

05/05/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00762

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!