Vulnerabilities ›

CVE-2026-8756

High

CWE-22 — Weakness Type

                    Published: May 17, 2026                      ·  Modified: May 24, 2026                      ·  Source: NVD                

CVSS v3

7.3

🔗 NVD Official

📄 Description (English)

A vulnerability has been found in fishaudio Bert-VITS2 up to 8f7fbd8c4770965225d258db548da27dc8dd934c. The impacted element is the function generate_config of the file webui_preprocess.py of the component Gradio Interface. Such manipulation of the argument data_dir leads to path traversal. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

A path traversal vulnerability exists in fishaudio Bert-VITS2's Gradio interface webui_preprocess.py component, allowing remote attackers to access unauthorized files through the data_dir parameter. The vulnerability has been publicly disclosed with no vendor response, posing significant risk to organizations using this audio processing tool.

📄 Description (Arabic)

ثغرة اجتياز المسار في مكون واجهة Gradio بـ fishaudio Bert-VITS2 تسمح للمهاجمين بالوصول إلى ملفات النظام غير المصرح بها من خلال معامل data_dir. الثغرة قابلة للاستغلال عن بعد وتم الكشف عنها علناً مع عدم استجابة البائع. هذا يزيد من خطر الاستغلال في البيئات الإنتاجية.

🤖 ملخص تنفيذي (AI)

يوجد ثغرة اجتياز المسار في واجهة Gradio الخاصة بـ fishaudio Bert-VITS2، مما يسمح للمهاجمين بالوصول إلى ملفات غير مصرح بها عن بعد. تم الكشف عن الثغرة علناً ولم يستجب البائع، مما يشكل خطراً كبيراً على المنظمات التي تستخدم هذه الأداة.

🤖 AI Intelligence Analysis Analyzed: May 21, 2026 02:02

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1083 T1190 T1021

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately disable or isolate the Bert-VITS2 Gradio interface from production environments. Implement strict input validation on the data_dir parameter to reject path traversal sequences. Apply network segmentation to restrict access to the vulnerable component. Monitor for suspicious file access patterns. Contact vendor for security updates or consider alternative audio processing solutions with active security support.

🔧 خطوات المعالجة (العربية)

قم بتعطيل أو عزل واجهة Gradio الخاصة بـ Bert-VITS2 عن بيئات الإنتاج فوراً. طبق التحقق الصارم من المدخلات على معامل data_dir لرفض تسلسلات اجتياز المسار. طبق تقسيم الشبكة لتقييد الوصول إلى المكون الضعيف. راقب أنماط الوصول إلى الملفات المريبة. اتصل بالبائع للحصول على تحديثات الأمان أو فكر في حلول بديلة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.6.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.13.1.1

🔗 References & Sources 4

🔗

https://gist.github.com/YLChen-007/550cb92f3489c317ff049fc7d7ea6b99

cna@vuldb.com

🔗

https://vuldb.com/submit/811175

cna@vuldb.com

🔗

https://vuldb.com/vuln/364383

cna@vuldb.com

🔗

https://vuldb.com/vuln/364383/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity High

CVSS Score7.3

CWECWE-22

EPSS0.09%

Exploit No

Patch ✗ No

Published 2026-05-17

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8756

Introduce Yourself

Sign In Required