CVE-2025-27787

Nome do Software Vulnerável e Versões Afetadas Versões do Applio 3.2.8-bugfix e anteriores

Descrição O Applio é uma ferramenta de conversão de voz vulnerável a negação de serviço (DoS). O problema surge a partir do model name em train.py, que recebe entrada do usuário e a passa para a função stop train em restart.py. Esta função usa a entrada para construir um caminho para uma pasta com config.json, que é então aberto, e a lista de valores sob "process pids" é lida. Um atacante pode explorar isso escrevendo um arquivo config.json em um local arbitrário, como logs/foobar, com uma lista de IDs de processo. Ao acessar um endpoint específico, um atacante pode encerrar esses processos, potencialmente levando a um DoS. Além disso, a construção de um caminho com entrada do usuário permite path traversal, permitindo que um atacante acesse config.json de outros locais no servidor.

Recomendações Para as versões 3.2.8-bugfix e anteriores, como solução temporária, considere desabilitar a função stop train em restart.py até que um patch esteja disponível. Restrinja o acesso à entrada model name em train.py para minimizar o risco de exploração. Evite usar o parâmetro model name no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.