CVE-2025-49838

Nome do Software Vulnerável e Versões Afetadas Versões do GPT-SoVITS-WebUI 20250228v3 e anteriores

Descrição O GPT-SoVITS-WebUI é uma interface web de conversão de voz e texto para fala. Existe uma falha devido à desserialização insegura no componente AudioPreDeEcho do vr.py. A variável model choose aceita entrada fornecida pelo usuário, como um caminho de modelo, e a transmite para a função uvr. Dentro da função uvr, uma instância da classe AudioPreDeEcho é criada, utilizando a entrada do usuário como o atributo model path após anexar a extensão '.pth'. A classe AudioPreDeEcho então usa essa entrada do usuário para carregar um modelo via torch.load, potencialmente levando à desserialização insegura.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.