发布日期：2024-07-22
更新日期：2024-09-29

受影响系统：

Bert-VITS2 Bert-VITS2 <= 2.3

描述：

---

CVE(CAN) ID: CVE-2024-39688

Bert-VITS2是Fish Audio开源的一种文本转语音模型的主干。
Bert-VITS2 2.3及之前版本存在路径遍历漏洞，攻击者可利用该漏洞通过向data_dir变量提供输入打开generate_config函数中的新文件，进而向服务器的任意目录中写入/config/config.json文件并获取已有目录的信息。

<**>

建议：

---

厂商补丁：

Bert-VITS2
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/fishaudio/Bert-VITS2/blob/76653b5b6d657143721df2ed6c5c246b4b1d9277/webui_preprocess.py#L130-L133

浏览次数：276
严重程度：0（网友投票）