CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUIinformazioni

Riassunto

di VulDB • 01/07/2026

Retrieval-based-Voice-Conversion-WebUI è un framework per la conversione della voce basato su VITS. Le versioni 2.2.231006 e precedenti sono vulnerabili a deserializzazione non sicura. La variabile `model_choose` accetta l'input dell'utente (ad esempio, il percorso di un modello) e lo passa alla funzione `uvr` in `vr.py`. In `uvr`, se `model_name` contiene la stringa "DeEcho", viene creata una nuova istanza della classe `AudioPreDeEcho` con l'attributo `model_path` contenente l'input dell'utente sopra menzionato. Nella classe `AudioPreDeEcho`, l'input dell'utente viene utilizzato per caricare il modello da quel percorso tramite `torch.load`, il che può portare a deserializzazione non sicura ed esecuzione di codice remoto (RCE). Al momento della pubblicazione, non sono noti patch disponibili.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

17/04/2025

Divulgazione

05/05/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00806

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!