GPT-SoVITS-WebUI, een populaire tool voor stemconversie en tekst-naar-spraak, is getroffen door een ernstige kwetsbaarheid: CVE-2025-49838, ook bekend als een deserialisatie van onbetrouwbare gegevens. Dit probleem beïnvloedt versies tot en met 20250228v3. Bij een aanval kan een kwaadwillende eenvoudig toegang krijgen tot gevoelige systeemgegevens zonder gebruikersinteractie.
Het lek ontstaat doordat het modelpad, dat door de gebruiker wordt ingevoerd, direct door de functie uvr wordt verwerkt en uiteindelijk wordt geladen met torch.load. Hierdoor kan er onveilige deserialisatie plaatsvinden.
Overzicht
De kwetsbaarheid treedt op in vr.py binnen de klasse AudioPreDeEcho. Deze klasse ontvangt een modelpad dat door gebruikersinput kan worden bepaald, en voegt daar de .pth extensie aan toe voordat het model wordt geladen. Dit gebeurt zonder voldoende validatie, waardoor er een aanzienlijk risico ontstaat.
Aanbevelingen
- Bescherm servers waarop GPT-SoVITS-WebUI draait door netwerkbeperkingen te implementeren die de toegang tot de betrokken systemen beperken.
- Controleer regelmatig op beschikbare beveiligingsupdates van de softwareleverancier.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-49838?
Dit is een kwetsbaarheid in de GPT-SoVITS-WebUI software die ontstaat door onveilige deserialisatie van gebruikersinvoer, wat kan leiden tot ongeautoriseerde acties.
Welke systemen zijn kwetsbaar voor CVE-2025-49838?
Systemen die GPT-SoVITS-WebUI versies tot en met 20250228v3 draaien, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Bij publicatie van deze waarschuwing zijn er geen patches beschikbaar. Het is aan te raden om de officiële kanalen in de gaten te houden voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder gebruikersinteractie of verhoogde rechten toegang krijgen tot het systeem, waardoor gevoelige gegevens kunnen worden blootgesteld of misbruikt.
