漏洞标题
将以下内容从英文翻译成中文:
在webui_preprocess.py的generate_config函数中生成fishaudio/Bert-VITS2的受限文件写入
漏洞描述信息
Bert-VITS2是使用多语言BERT的VITS2主干。用户输入被提供给data_dir变量,然后与其它文件夹进行连接,并在generate_config函数中用于打开新的文件,从而导致文件写入受限。该问题允许在服务器上的任意目录中编写/config/config.json文件。如果给定的目录路径不存在,应用程序将返回错误,因此,这个漏洞也可能被用来获取服务器上现有目录的信息。此漏洞影响fishaudio/Bert-VITS2 2.3及更早版本。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
fishaudio/Bert-VITS2 Limited File Write in webui_preprocess.py generate_config function
漏洞描述信息
Bert-VITS2 is the VITS2 Backbone with multilingual bert. User input supplied to the data_dir variable is concatenated with other folders and used to open a new file in the generate_config function, which leads to a limited file write. The issue allows for writing /config/config.json file in arbitrary directory on the server. If a given directory path doesn’t exist, the application will return an error, so this vulnerability could also be used to gain information about existing directories on the server. This affects fishaudio/Bert-VITS2 2.3 and earlier.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Bert-VITS2 安全漏洞
漏洞描述信息
Bert-VITS2是Fish Audio开源的一种文本转语音模型的主干。 Bert-VITS2 2.3版本存在安全漏洞,该漏洞源于文件写入受限,允许在服务器上的任意目录中写入/config/config.json文件。
CVSS信息
N/A
漏洞类别
其他