CVE-2025-49838 in GPT-SoVITS
要約
〜によって VulDB • 2026年05月18日
GPT-SoVITS-WebUIは、音声変換およびテキスト読み上げ(TTS)用のWebUIです。バージョン20250228v3およびそれ以前のバージョンでは、vr.pyのAudioPreDeEchoに安全でないデシリアライズの脆弱性が存在します。model_choose変数はユーザー入力(例:モデルへのパス)を受け取り、それをuvr関数に渡します。uvr内では、model_path属性に前述のユーザー入力(ここではローカル変数model_nameとして参照)を含むAudioPreDeEchoクラスの新しいインスタンスが作成されます。このステップでは、パスに.pth拡張子が付加される点に注意してください。AudioPreDeEchoクラス内では、ユーザー入力(ここではmodel_pathとして参照)がtorch.loadを使用してそのパス上のモデルを読み込むために使用され、これにより安全でないデシリアライズにつながる可能性があります。公開時点では、既知のパッチ済みバージョンは存在しません。
VulDB is the best source for vulnerability data and more expert information about this specific topic.