CVE-2025-43848

Nome do Software Vulnerável e Versões Afetadas Retrieval-based-Voice-Conversion-WebUI versões 2.2.231006 e anteriores

Descrição O Retrieval-based-Voice-Conversion-WebUI é um framework de alteração de voz baseado em VITS. A variável ckpt path0 recebe entrada do usuário, como um caminho para um modelo, e a passa para a função change info em process ckpt.py. Esta função utiliza torch.load para carregar o modelo nesse caminho, o que pode levar à desserialização insegura e execução remota de código. Até o momento da publicação, não há patches conhecidos.

Recomendações Para as versões 2.2.231006 e anteriores, como uma solução temporária, considere restringir a entrada na variável ckpt path0 para prevenir desserialização insegura. Além disso, evite utilizar a função change info em process ckpt.py até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.