CVE-2025-43852 in Retrieval-based-Voice-Conversion-WebUI
Tóm tắt
Bởi VulDB • 12/07/2026
Retrieval-based-Voice-Conversion-WebUI là một khung chuyển đổi giọng nói dựa trên VITS. Các phiên bản 2.2.231006 và các phiên bản trước đó đều dễ bị tổn thương do quá trình giải serialize không an toàn (unsafe deserialization). Biến `model_choose` nhận đầu vào từ người dùng (ví dụ: đường dẫn đến một mô hình) và truyền nó tới hàm `uvr` trong file `vr.py`. Trong hàm `uvr`, nếu biến `model_name` chứa chuỗi "DeEcho", một thể hiện mới của lớp `AudioPreDeEcho` sẽ được tạo ra với thuộc tính `model_path` chứa đầu vào người dùng nêu trên. Trong lớp `AudioPreDeEcho`, đầu vào này được sử dụng để tải mô hình tại đường dẫn đó bằng hàm `torch.load`, điều này có thể dẫn đến nguy cơ giải serialize không an toàn và thực thi mã từ xa (Remote Code Execution - RCE). Tính đến thời điểm công bố, chưa có bản vá lỗi nào được biết đến.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.