CVE-2025-49837

Nome do Software Vulnerável e Versões Afetadas GPT-SoVITS-WebUI versões 20250228v3 e anteriores

Descrição O GPT-SoVITS-WebUI é uma interface web para conversão de voz e texto para fala. Existe uma falha devido à desserialização insegura no módulo AudioPre do vr.py. A variável model choose aceita entrada fornecida pelo usuário, incluindo um caminho para um modelo, e a passa para a função uvr. Dentro da função uvr, uma instância da classe AudioPre é criada, utilizando a entrada fornecida pelo usuário como o atributo model path, com a extensão .pth anexada. A classe AudioPre então usa este model path para carregar o modelo usando torch.load, o que pode resultar em desserialização insegura.

Recomendações Versões anteriores à 20250228v3 são vulneráveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.