Er is een ernstige kwetsbaarheid ontdekt in GPT-SoVITS, bekend als CVE-2025-49833. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige commando’s uit te voeren op de server zonder enige interactie of vereiste privileges van gebruikers. Dit kan leiden tot volledige controle over het systeem.
Overzicht
De kwetsbaarheid bevindt zich in de open_slice functie van het bestand webui.py binnen GPT-SoVITS-WebUI. Deze functie behandelt gebruikersinvoer die vervolgens wordt gebruikt in een commando, wat leidt tot command injectie. De kwetsbare versies zijn <= 20250228v3 en er zijn momenteel geen patches beschikbaar.
Aanbevelingen
- Controleer of u een getroffen versie van de software gebruikt. De kwetsbare versies zijn <= 20250228v3.
- Beperk toegang tot de server waar mogelijk, om ongeautoriseerde toegang tot de kwetsbare functie te voorkomen.
- Blijf de officiële kanalen volgen voor updates of patches die in de toekomst kunnen worden uitgebracht.
Bronnen
- GitHub Security Advisory
- Details van de kwetsbare code
- Code referentie L501
- Code referentie L503
- Code referentie L889
Vraag en Antwoord
Wat is CVE-2025-49833?
Het is een command injectie kwetsbaarheid in GPT-SoVITS die kan leiden tot het uitvoeren van willekeurige commando’s.
Welke systemen zijn kwetsbaar voor CVE-2025-49833?
Alle systemen die GPT-SoVITS versie <= 20250228v3 gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er nog geen patch beschikbaar voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk volledige controle over het systeem krijgen door willekeurige commando’s uit te voeren.
