CVE-2025-43845

Nome do Software Vulnerável e Versões Afetadas Retrieval-based-Voice-Conversion-WebUI versões 2.2.231006 e anteriores

Descrição O Retrieval-based-Voice-Conversion-WebUI é um framework de conversão de voz baseado em VITS. A variável ckpt path2 recebe entrada do usuário, como um caminho para um modelo, e a passa para a função change info . Esta função abre e lê o arquivo no caminho fornecido, alterando a parte final do caminho para train.log, e então passa o conteúdo do arquivo para eval, o que pode levar à execução remota de código. Até o momento da publicação, não existem correções conhecidas.

Recomendações Para as versões 2.2.231006 e anteriores, como uma solução alternativa temporária, considere restringir a entrada da variável ckpt path2 para impedir que caminhos maliciosos sejam passados para a função change info . Além disso, evite usar a função eval com entrada não confiável até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.