CVE-2025-43846

Nome do Software Vulnerável e Versões Afetadas Retrieval-based-Voice-Conversion-WebUI versões 2.2.231006 e anteriores

Descrição O Retrieval-based-Voice-Conversion-WebUI é um framework para mudança de voz baseado em VITS. A variável ckpt path1 recebe entrada do usuário, como um caminho para um modelo, e a passa para a função show info em process ckpt.py. Esta função utiliza torch.load para carregar o modelo nesse caminho, o que pode levar à desserialização insegura e execução remota de código. Até o momento da publicação, não existem patches conhecidos.

Recomendações Para as versões 2.2.231006 e anteriores, como uma medida temporária de contorno, considere restringir o uso da variável ckpt path1 e da função show info em process ckpt.py para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.