Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Retrieval-based-Voice-Conversion-WebUI (CVE-2025-43849)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
05/05/2025
Última modificación:
05/05/2025

Descripción

Retrieval-based-Voice-Conversion-WebUI es un framework de modificación de voz basado en VITS. Las versiones 2.2.231006 y anteriores son vulnerables a la deserialización insegura. Las variables ckpt_a y cpkt_b toman la entrada del usuario (por ejemplo, la ruta a un modelo) y la pasan a la función de fusión en process_ckpt.py, que las utiliza para cargar los modelos en dichas rutas con torch.load, lo que puede provocar una deserialización insegura y la ejecución remota de código. Al momento de la publicación, no se conocen parches.