一、 漏洞 CVE-2024-39686 基础信息
漏洞标题
fishaudio/Bert-VITS2 中的命令注入问题,在webui_preprocess.py的bert_gen函数中
来源:AIGC 神龙大模型
漏洞描述信息
Bert-VITS2是VITS2主干架构,加入了多语言BERT。用户输入提供给data_dir变量,直接用于bert_gen函数中通过subprocess.run(cmd, shell=True)执行的命令中,导致任意命令执行。这影响了fishaudio/Bert-VITS2 2.3及更早版本。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
fishaudio/Bert-VITS2 Command Injection in webui_preprocess.py bert_gen function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Bert-VITS2 is the VITS2 Backbone with multilingual bert. User input supplied to the data_dir variable is used directly in a command executed with subprocess.run(cmd, shell=True) in the bert_gen function, which leads to arbitrary command execution. This affects fishaudio/Bert-VITS2 2.3 and earlier.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Bert-VITS2 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Bert-VITS2是Fish Audio开源的一种文本转语音模型的主干。 Bert-VITS2 2.3版本存在安全漏洞,该漏洞源于存在任意命令执行问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-39686 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-39686 的情报信息