CVE-2025-43851

Nome do Software Vulnerável e Versões Afetadas Retrieval-based-Voice-Conversion-WebUI versões 2.2.231006 e anteriores

Descrição O Retrieval-based-Voice-Conversion-WebUI é um framework de alteração de voz baseado em VITS. A variável model choose recebe entrada do usuário, como um caminho para um modelo, e a passa para a função uvr em vr.py. Em uvr, uma nova instância da classe AudioPre é criada com o atributo model path contendo a entrada do usuário mencionada anteriormente. Na classe AudioPre, a entrada do usuário é usada para carregar o modelo nesse caminho com torch.load, o que pode levar à desserialização insegura e execução remota de código. Até o momento da publicação, não existem correções conhecidas.

Recomendações Para as versões 2.2.231006 e anteriores, como solução alternativa temporária, considere desativar a função uvr em vr.py até que uma correção esteja disponível. Restrinja o acesso à classe AudioPre para minimizar o risco de exploração. Evite usar a variável model choose no código afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.