CVE-2025-43847

Nome do Software Vulnerável e Versões Afetadas Versões 2.2.231006 e anteriores do Retrieval-based-Voice-Conversion-WebUI

Descrição O problema envolve desserialização insegura no framework de alteração de voz Retrieval-based-Voice-Conversion-WebUI, que é baseado em VITS. A variável ckpt path2 recebe entrada do usuário, como um caminho para um modelo, e a passa para a função extract small model em process ckpt.py. Esta função usa torch.load para carregar o modelo a partir do caminho fornecido, levando à potencial desserialização insegura e execução remota de código. Não existem correções conhecidas para este problema até o momento da publicação.

Recomendações Para as versões 2.2.231006 e anteriores, como uma solução alternativa temporária, considere restringir o uso da variável ckpt path2 e da função extract small model em process ckpt.py para minimizar o risco de exploração. Evite usar a função torch.load com entrada não confiável até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.