CVE-2025-43849

Nome do Software Vulnerável e Versões Afetadas Versões 2.2.231006 e anteriores do Retrieval-based-Voice-Conversion-WebUI

Descrição O problema diz respeito a um framework de alteração de voz baseado em VITS, onde pode ocorrer desserialização insegura. As variáveis ckpt a e cpkt b recebem entrada do usuário, como um caminho para um modelo, e a passam para a função merge em process ckpt.py. Esta função usa torch.load para carregar modelos dos caminhos fornecidos, o que pode levar à desserialização insegura e execução remota de código. Não existem patches conhecidos até o momento da publicação.

Recomendações Para as versões 2.2.231006 e anteriores, considere desabilitar a função merge em process ckpt.py até que um patch esteja disponível para prevenir desserialização insegura. Restrinja o acesso às variáveis ckpt a e cpkt b para minimizar o risco de exploração. Evite usar a função torch.load com entrada não confiável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.