主要な脆弱性情報 脆弱性識別子 GHSL-2025-049 GHSL-2025-053 脆弱性の種類 リモートコード実行 (RCE) 影響を受けるコンポーネント GPT-SoVITS 関連 CVE 識別子 CVE-2025-49837 CVE-2025-49838 CVE-2025-49839 CVE-2025-49840 CVE-2025-49841 主要な問題 1. vr.py における非安全なシリアル化解除 - 関数に パラメータとして渡されることで、リモートコード実行を引き起こす。 - CWE: CWE-502: 信頼できないデータのシリアル化解除 2. AudioPreDeEcho クラスにおける非安全なシリアル化解除 - モデルの読み込みに パラメータが使用され、リモートコード実行の可能性がある。 - CWE: CWE-502: 信頼できないデータのシリアル化解除 3. bsforator.py における非安全なシリアル化解除 - モデルの読み込みに パラメータが使用され、リモートコード実行の可能性がある。 - CWE: CWE-502: 信頼できないデータのシリアル化解除 4. inference_webui.py における非安全なシリアル化解除 - モデルの読み込みに パラメータが使用され、リモートコード実行の可能性がある。 - CWE: CWE-502: 信頼できないデータのシリアル化解除 5. process_ckpt.py における非安全なシリアル化解除 - モデルの保存に パラメータが使用され、リモートコード実行の可能性がある。 - CWE: CWE-502: 信頼できないデータのシリアル化解除 公開タイムライン 2023-06-14: 問題の提出および連絡先リクエスト 2023-06-16: OC によるコメントとバグとしてのマーキング 2023-06-16: GitHub Security Lab による CVE の要求および 90 日間公開ポリシーの遵循 発見者 GHSL チームメンバー: @yukibadzuki @billybadzuki