CVE-2025-43852

Nome do Software Vulnerável e Versões Afetadas Retrieval-based-Voice-Conversion-WebUI versões 2.2.231006 e anteriores

Descrição O Retrieval-based-Voice-Conversion-WebUI é um framework de conversão de voz baseado em VITS. A variável model choose recebe entrada do usuário, como um caminho para um modelo, e a passa para a função uvr em vr.py. Se model name contiver a string "DeEcho", uma nova instância da classe AudioPreDeEcho é criada com o atributo model path contendo a entrada do usuário. Na classe AudioPreDeEcho, a entrada do usuário é usada para carregar o modelo nesse caminho com torch.load, o que pode levar à desserialização insegura e execução remota de código. Não existem correções conhecidas até o momento da publicação.

Recomendações Para as versões 2.2.231006 e anteriores, considere desativar a função uvr em vr.py ou restringir o uso da variável model choose para minimizar o risco de exploração até que uma correção esteja disponível. Evite usar o atributo model path na classe AudioPreDeEcho para carregar modelos de fontes não confiáveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.