Een ernstige kwetsbaarheid, aangeduid als CVE-2025-49840, beïnvloedt GPT-SoVITS-WebUI. Deze kwetsbaarheid betreft de onveilige deserialisatie van gegevens, wat kan leiden tot ernstige beveiligingsproblemen. Systemen die gebruikmaken van versies tot en met 20250228v3 zijn kwetsbaar.
Bij het gebruik van deze kwetsbare versies kan een aanvaller met netwerktoegang zonder enige interactie of autorisatie code uitvoeren, waardoor de integriteit en beschikbaarheid van het systeem in gevaar komen.
Overzicht
GPT-SoVITS-WebUI, gebruikt voor spraakconversie en tekst-naar-spraak, bevat een onveilige deserialisatie in het bestand inference_webui.py. De variabele GPT_dropdown ontvangt gebruikersinvoer en stuurt deze naar de change_gpt_weights functie, waar het onveilig verwerkt wordt met torch.load. Hierdoor kunnen aanvallers toegang krijgen tot kritieke systeemresources.
Bronnen
- Security Lab GitHub Advisory
- Github broncode locatie in inference_webui.py L310
- Github broncode locatie in inference_webui.py L872
- Github broncode locatie in inference_webui.py L927
Vraag en Antwoord
Wat is CVE-2025-49840?
Het gaat om een kwetsbaarheid in de GPT-SoVITS-WebUI die te maken heeft met de onveilige verwerking van gegevens via deserialisatie.
Welke systemen zijn kwetsbaar voor CVE-2025-49840?
Alle systemen die gebruikmaken van GPT-SoVITS versies tot en met 20250228v3 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er nog geen bekende patch of beveiligingsupdate beschikbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid uitbuiten om ongeautoriseerde code op het systeem uit te voeren, met mogelijke gevolgen voor de privacy en veiligheid van uw netwerk.
