CVE-2025-43844

Nome do Software Vulnerável e Versões Afetadas Versões 2.2.231006 e anteriores do Retrieval-based-Voice-Conversion-WebUI

Descrição O Retrieval-based-Voice-Conversion-WebUI é um framework de alteração de voz baseado em VITS. As variáveis exp dir1, entre outras, recebem entrada do usuário e a passam para a função click train, que as concatena em um comando executado no servidor. Isso pode levar à execução arbitrária de comandos. Até o momento da publicação, não existem patches conhecidos.

Recomendações Para as versões 2.2.231006 e anteriores, como medida de contorno temporária, considere restringir a entrada na variável exp dir1 e em outras variáveis similares para prevenir a execução de comandos maliciosos. Adicionalmente, restrinja o acesso à função click train para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.