发布日期：2024-07-22
更新日期：2024-09-29

受影响系统：

Bert-VITS2 Bert-VITS2 <= 2.3

描述：

---

CVE(CAN) ID: CVE-2024-39686

Bert-VITS2是Fish Audio开源的一种文本转语音模型的主干。
Bert-VITS2 2.3及之前版本存在操作系统命令注入漏洞，攻击者可利用该漏洞向data_dir变量提供输入，进而使用bert_gen函数中的subprocess.run(cmd, shell=True)执行任意命令。

<**>

建议：

---

厂商补丁：

Bert-VITS2
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/fishaudio/Bert-VITS2/blob/3f8c537f4aeb281df3fb3c455eed9a1b64871a81/webui_preprocess.py#L46-L52

浏览次数：294
严重程度：0（网友投票）