CVE-2025-43851 in Retrieval-based-Voice-Conversion-WebUIinformazioni

Riassunto

di VulDB • 20/06/2026

Retrieval-based-Voice-Conversion-WebUI è un framework per la conversione della voce basato su VITS. Le versioni 2.2.231006 e precedenti sono vulnerabili a deserializzazione non sicura. La variabile `model_choose` accetta l'input dell'utente (ad esempio, un percorso a un modello) e lo passa alla funzione `uvr` in `vr.py`. In `uvr`, viene creata una nuova istanza della classe `AudioPre` con l'attributo `model_path` contenente l'input dell'utente menzionato. Nella classe `AudioPre`, l'input dell'utente viene utilizzato per caricare il modello in quel percorso tramite `torch.load`, il che può portare a deserializzazione non sicura ed esecuzione di codice remoto (RCE). Al momento della pubblicazione, non sono noti patch disponibili.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

17/04/2025

Divulgazione

05/05/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00806

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!