CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUIИнформация

Сводка

по VulDB • 20.05.2026

Retrieval-based-Voice-Conversion-WebUI — это фреймворк для изменения голоса, основанный на VITS. Версии 2.2.231006 и более ранние уязвимы к небезопасной десериализации. Переменная model_choose принимает пользовательский ввод (например, путь к модели) и передает его функции uvr в файле vr.py. В функции uvr, если model_name содержит строку "DeEcho", создается новый экземпляр класса AudioPreDeEcho с атрибутом model_path, содержащим указанный выше пользовательский ввод. В классе AudioPreDeEcho пользовательский ввод используется для загрузки модели по этому пути с помощью torch.load, что может привести к небезопасной десериализации и выполнению произвольного кода на удаленной машине (RCE). На момент публикации известных исправлений не существует.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

17.04.2025

Раскрытие

05.05.2025

Модерация

принято

Вход

VDB-307497

EPSS

0.00806

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!