CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUIthông tin

Tóm tắt

Bởi VulDB • 12/07/2026

Retrieval-based-Voice-Conversion-WebUI là một khung chuyển đổi giọng nói dựa trên VITS. Các phiên bản 2.2.231006 và các phiên bản trước đó đều dễ bị tổn thương do quá trình giải serialize không an toàn (unsafe deserialization). Biến `model_choose` nhận đầu vào từ người dùng (ví dụ: đường dẫn đến một mô hình) và truyền nó tới hàm `uvr` trong file `vr.py`. Trong hàm `uvr`, nếu biến `model_name` chứa chuỗi "DeEcho", một thể hiện mới của lớp `AudioPreDeEcho` sẽ được tạo ra với thuộc tính `model_path` chứa đầu vào người dùng nêu trên. Trong lớp `AudioPreDeEcho`, đầu vào này được sử dụng để tải mô hình tại đường dẫn đó bằng hàm `torch.load`, điều này có thể dẫn đến nguy cơ giải serialize không an toàn và thực thi mã từ xa (Remote Code Execution - RCE). Tính đến thời điểm công bố, chưa có bản vá lỗi nào được biết đến.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

17/04/2025

Tiết lộ

05/05/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00806

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!