CVE-2025-43843

Nome do Software Vulnerável e Versões Afetadas Versões 2.2.231006 e anteriores do Retrieval-based-Voice-Conversion-WebUI

Descrição O Retrieval-based-Voice-Conversion-WebUI é um framework de alteração de voz baseado em VITS. As variáveis exp dir1, np7 e f0method8 recebem entrada do usuário e a passam para a função extract f0 feature, que as concatena em um comando executado no servidor. Isso pode levar à execução arbitrária de comandos. Até o momento da publicação, não existem patches conhecidos.

Recomendações Para as versões 2.2.231006 e anteriores, como solução temporária, considere restringir a entrada nas variáveis exp dir1, np7 e f0method8 para impedir que comandos maliciosos sejam executados. Além disso, considere desativar a função extract f0 feature até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.