Een ernstige command injection kwetsbaarheid (CVE-2025-49836) is ontdekt in GPT-SoVITS, een veelgebruikte stemconversie en text-to-speech WebUI. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige commando’s uit te voeren op de server, met alle bijbehorende risico’s voor de vertrouwelijkheid, integriteit en beschikbaarheid van systemen.
Overzicht
De kwetsbaarheid bevindt zich in de methode change_label in webui.py van GPT-SoVITS. Door onjuiste neutralisatie van speciale elementen kan de path_list, die gebruikersinvoer accepteert, gebruikt worden om een kwaadaardige opdracht in de serveromgeving uit te voeren.
Aanbevelingen
- Zorg ervoor dat ongeautoriseerde toegang tot het systeem beperkt is, en monitor de netwerkomgeving regelmatig voor verdachte activiteiten.
- Overweeg tijdelijke maatregelen zoals het beperken van toegang tot de WebUI of het gebruik van een Web Application Firewall (WAF) om aanvalspogingen te detecteren en te blokkeren.
- Blijf controleren op beveiligingsupdates van de leverancier aangezien er momenteel geen gepatchte versie beschikbaar is.
Bronnen
- Beveiligingsadviezen van GitHub
- Code referentie in webui.py lijn 272
- Code referentie in webui.py lijn 275
- Code referentie in webui.py lijn 955
- Code referentie in webui.py lijn 960
Vraag en Antwoord
Wat is CVE-2025-49836?
Dit is een kwetsbaarheid die command injections mogelijk maakt in de GPT-SoVITS WebUI, waardoor een aanvaller ongeautoriseerde commando’s kan uitvoeren.
Welke systemen zijn kwetsbaar voor CVE-2025-49836?
Systemen die gebruikmaken van de GPT-SoVITS WebUI, versie 20250228v3 en eerder, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Bij publicatie zijn er geen bekende gepatchte versies beschikbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige code uitvoeren op de getroffen server, wat kan leiden tot volledige compromittering van het systeem.
