# GHSL-2025-046: GPT-SoVITS 命令注入漏洞
## 漏洞概述
GPT-SoVITS-WebUI 是一个用于语音转换和文本转语音的WebUI。在版本20250228v3及之前版本中,存在一个命令注入漏洞。
## 影响版本
- 20250228v3及之前版本
## 漏洞细节
在 `webui.py` 文件中的 `open_denoise` 函数中,`denoise_inp_dir` 和 `denoise_opt_dir` 参数接受用户输入。用户输入未经充分验证和过滤,直接被拼接进命令中并在服务器上执行,导致任意命令执行。
## 影响
由于在发布时没有已知的修复版本,攻击者可以利用此漏洞在服务器上执行任意命令,从而控制服务器。
# | POC 描述 | 源链接 | 神龙链接 |
---|
标题: GHSL-2025-045_GHSL-2025-048: Command injection in GPT-SoVITS - CVE-2025-49833, CVE-2025-49834, CVE-2025-49835, CVE-2025-49836 | GitHub Security Lab -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读标题: GPT-SoVITS/webui.py at 165882d64f474b3563fa91adc1a679436ae9c3b8 · RVC-Boss/GPT-SoVITS · GitHub -- 🔗来源链接
标签: x_refsource_MISC
标题: GPT-SoVITS/webui.py at 165882d64f474b3563fa91adc1a679436ae9c3b8 · RVC-Boss/GPT-SoVITS · GitHub -- 🔗来源链接
标签: x_refsource_MISC
标题: GPT-SoVITS/webui.py at 165882d64f474b3563fa91adc1a679436ae9c3b8 · RVC-Boss/GPT-SoVITS · GitHub -- 🔗来源链接
标签: x_refsource_MISC
标题: GPT-SoVITS/webui.py at 165882d64f474b3563fa91adc1a679436ae9c3b8 · RVC-Boss/GPT-SoVITS · GitHub -- 🔗来源链接
标签: x_refsource_MISC