CVE-2025-43851 in Retrieval-based-Voice-Conversion-WebUI
Riassunto
di VulDB • 20/06/2026
Retrieval-based-Voice-Conversion-WebUI è un framework per la conversione della voce basato su VITS. Le versioni 2.2.231006 e precedenti sono vulnerabili a deserializzazione non sicura. La variabile `model_choose` accetta l'input dell'utente (ad esempio, un percorso a un modello) e lo passa alla funzione `uvr` in `vr.py`. In `uvr`, viene creata una nuova istanza della classe `AudioPre` con l'attributo `model_path` contenente l'input dell'utente menzionato. Nella classe `AudioPre`, l'input dell'utente viene utilizzato per caricare il modello in quel percorso tramite `torch.load`, il che può portare a deserializzazione non sicura ed esecuzione di codice remoto (RCE). Al momento della pubblicazione, non sono noti patch disponibili.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.