De GPT-SoVITS-WebUI, gebruikt voor stemconversie en tekst-naar-spraak functionaliteiten, is kwetsbaar door een onveilige deserialisatie van niet-vertrouwde data. De kwetsbaarheid heeft de code CVE-2025-49839 en betreft versies tot en met 20250228v3. Dit lek kan worden uitgebuit om ongeautoriseerde toegang te verkrijgen, met een hoge impact op de vertrouwelijkheid, integriteit en beschikbaarheid van systemen.
Het probleem ligt in bsroformer.py, waar ongecontroleerde invoer wordt gebruikt bij het laden van modellen, wat kan leiden tot onveilige deserialisatie wanneer via de torch.load functie modellen worden geladen.
Overzicht
De kwetsbaarheid is gelabeld onder CWE-502, wat staat voor de deserialisatie van niet-vertrouwde data. Door het ontbreken van een beveiligde deserialisatie kunnen kwaadwillenden kwaadaardige code injecteren.
Aanbevelingen
- Controleer of uw systemen een versie van GPT-SoVITS gebruiken die ouder of gelijk is aan 20250228v3.
- Wees alert op aankondigingen van de leverancier voor beschikbare patches of updates om het probleem te verhelpen.
- Implementeren van een strikte inputvalidatie kan helpen bij het voorkomen van dergelijke kwetsbaarheden in de toekomst.
Bronnen
Vraag en Antwoord
1. Wat is CVE-2025-49839?
Dit is een kwetsbaarheid in GPT-SoVITS door onveilige deserialisatie, met het potentieel om ongeautoriseerde code-executie te veroorzaken.
2. Welke systemen zijn kwetsbaar voor CVE-2025-49839?
Alle systemen die GPT-SoVITS versie 20250228v3 of ouder gebruiken zijn vatbaar.
3. Bestaat er al een patch of beveiligingsupdate?
Er zijn momenteel geen bekende patches beschikbaar. Volg de leverancier voor eventuele toekomstige updates.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk ongeautoriseerde toegang verkrijgen en schadelijke acties uitvoeren op de getroffen systemen.
