CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUI정보

요약

\~에 의해 VulDB • 2026. 07. 01.

Retrieval-based-Voice-Conversion-WebUI는 VITS 기반의 음성 변환 프레임워크입니다. 버전 2.2.231006 및 이전 버전은 부정한 역직렬화(unsafe deserialization) 취약점에 노출되어 있습니다. `model_choose` 변수가 사용자 입력(예: 모델 경로 등)을 받아 vr.py 내의 uvr 함수로 전달합니다. uvr 내에서 model_name이 "DeEcho" 문자열을 포함하는 경우, 해당 사용자 입력을 포함한 model_path 속성으로 AudioPreDeEcho 클래스의 새 인스턴스가 생성됩니다. AudioPrePreDeEcho 클래스에서는 torch.load를 사용하여 해당 경로의 모델을 로드할 때 사용자 입력이 사용되며, 이는 부정한 역직렬화와 원격 코드 실행(RCE)으로 이어질 수 있습니다. 게시 시점 기준 알려진 패치는 존재하지 않습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2025. 04. 17.

모더레이션

수락

항목

VDB-307497

EPSS

0.00806

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!