关键漏洞信息 漏洞编号 GHSL-2025-049 GHSL-2025-053 漏洞类型 远程代码执行 (RCE) 影响的组件 GPT-SoVITS 相关CVE编号 CVE-2025-49837 CVE-2025-49838 CVE-2025-49839 CVE-2025-49840 CVE-2025-49841 主要问题 1. vr.py中的不安全反序列化 - 通过 参数传递给 函数,导致远程代码执行。 - CWE: CWE-502: 反序列化不可信数据 2. AudioPreDeEcho类中的不安全反序列化 - 参数用于加载模型,可能导致远程代码执行。 - CWE: CWE-502: 反序列化不可信数据 3. bsforator.py中的不安全反序列化 - 参数用于加载模型,可能导致远程代码执行。 - CWE: CWE-502: 反序列化不可信数据 4. inference_webui.py中的不安全反序列化 - 参数用于加载模型,可能导致远程代码执行。 - CWE: CWE-502: 反序列化不可信数据 5. process_ckpt.py中的不安全反序列化 - 参数用于保存模型,可能导致远程代码执行。 - CWE: CWE-502: 反序列化不可信数据 披露时间线 2023-06-14: 提交问题并请求联系 2023-06-16: OC评论并标记为bug 2023-06-16: GitHub Security Lab请求CVEs并遵循90天披露政策 发现者 GHSL团队成员:@yukibadzuki @billybadzuki