Er is een serieuze kwetsbaarheid ontdekt in GPT-SoVITS, geïdentificeerd als CVE-2025-49841, die te maken heeft met de deserialisatie van onbetrouwbare gegevens. Deze kwetsbaarheid, geklasseerd onder CWE-502, kan leiden tot ernstige risico’s omdat een aanvaller via het netwerk toegang kan krijgen zonder enige vereiste interactie of privileges.
Deze kwetsbaarheid treft versie 20250228v3 en eerder van GPT-SoVITS. Dit is met name zorgwekkend gezien de impact op de vertrouwelijkheid, integriteit en beschikbaarheid van systemen.
Overzicht
GPT-SoVITS is een webgebaseerde interface voor stemconversie en tekst-naar-spraak. De kwetsbaarheid bevindt zich in process_ckpt.py waar de SoVITS_dropdown variabele onveilige gebruikersinvoer verwerkt door deze door te geven aan de load_sovits_new functie. Deze behandelt met torch.load een model op een onveilige manier, wat leidt tot deserialisatie van onbetrouwbare gegevens.
Aanbevelingen
Helaas zijn er op het moment van publicatie nog geen bekende patches beschikbaar voor deze kwetsbaarheid. Het is cruciaal om waakzaam te blijven en regelmatig updates van de officiële documentatie van GitHub te volgen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-49841?
Het betreft een kwetsbaarheid in GPT-SoVITS waarbij onbetrouwbare gegevens beschouwd worden in de deserialisatie, wat kan resulteren in complete systeemcompromittering.
Welke systemen zijn kwetsbaar voor CVE-2025-49841?
Versies van GPT-SoVITS tot en met 20250228v3 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment zijn er geen bekende patches of updates beschikbaar. Blijf de GitHub Security Adviezen in de gaten houden voor verdere updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder enige interactie of speciale privileges schadelijke acties uitvoeren, wat leidt tot een compromittering van de vertrouwelijkheid, integriteit en beschikbaarheid van uw systeem.
