CVE

Vulnerabilidad en Bert-VITS2 (CVE-2024-39688)

Severidad:

MEDIA

Type:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

22/07/2024

Última modificación:

24/07/2024

Descripción

Bert-VITS2 es la columna vertebral de VITS2 con bert multilingüe. La entrada del usuario proporcionada a la variable data_dir se concatena con otras carpetas y se usa para abrir un nuevo archivo en la función generate_config, lo que conduce a una escritura de archivo limitada. El problema permite escribir el archivo /config/config.json en un directorio arbitrario del servidor. Si una ruta de directorio determinada no existe, la aplicación devolverá un error, por lo que esta vulnerabilidad también podría usarse para obtener información sobre directorios existentes en el servidor. Esto afecta a fishaudio/Bert-VITS2 2.3 y versiones anteriores.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Severidad 3.x

MEDIA

Vulnerabilidad en Bert-VITS2 (CVE-2024-39688)

Descripción

Impacto

Referencias a soluciones, herramientas e información