Vulnerabilidad en Retrieval-based-Voice-Conversion-WebUI (CVE-2025-43849)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
05/05/2025
Última modificación:
05/05/2025
Descripción
Retrieval-based-Voice-Conversion-WebUI es un framework de modificación de voz basado en VITS. Las versiones 2.2.231006 y anteriores son vulnerables a la deserialización insegura. Las variables ckpt_a y cpkt_b toman la entrada del usuario (por ejemplo, la ruta a un modelo) y la pasan a la función de fusión en process_ckpt.py, que las utiliza para cargar los modelos en dichas rutas con torch.load, lo que puede provocar una deserialización insegura y la ejecución remota de código. Al momento de la publicación, no se conocen parches.
Referencias a soluciones, herramientas e información
- https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI/blob/7ef19867780cf703841ebafb565a4e47d1ea86ff/infer/lib/train/process_ckpt.py#L196
- https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI/blob/9f2f0559e6932c10c48642d404e7d2e771d9db43/infer-web.py#L1357
- https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI/blob/9f2f0559e6932c10c48642d404e7d2e771d9db43/infer-web.py#L1358
- https://github.com/RVC-Project/Retrieval-based-Voice-Conversion-WebUI/blob/9f2f0559e6932c10c48642d404e7d2e771d9db43/infer-web.py#L1398
- https://securitylab.github.com/advisories/GHSL-2025-012_GHSL-2025-022_Retrieval-based-Voice-Conversion-WebUI/