CVE-2024-47872 in Gradioالمعلومات

الملخص

بحسب VulDB • 11/05/2026

Gradio هو حزمة بايثون مفتوحة المصدر مصممة للنماذج الأولية السريعة. تتضمن هذه الثغرة **برمجة صفحات الويب عبر المواقع (XSS)** في أي خادم Gradio يسمح بتحميل الملفات. يمكن للمستخدمين المصادق عليهم تحميل ملفات مثل ملفات HTML أو JavaScript أو SVG تحتوي على نصوص برمجية ضارة. عند قيام مستخدمين آخرين بتنزيل أو عرض هذه الملفات، سيتم تنفيذ النصوص البرمجية في متصفحاتهم، مما يسمح للمهاجرين بتنفيذ إجراءات غير مصرح بها أو سرقة معلومات حساسة من جلساتهم. يؤثر هذا على أي خادم Gradio يسمح بتحميل الملفات، ولا سيما تلك التي تستخدم مكونات تعالج أو تعرض الملفات التي يرفعها المستخدمون. يُنصح المستخدمون بالترقية إلى `gradio>=5` لمعالجة هذه المشكلة. كحل بديل، يمكن للمستخدمين تقييد أنواع الملفات التي يمكن تحميلها إلى خادم Gradio عن طريق تحديد التحميلات لأنواع ملفات غير قابلة للتنفيذ مثل الصور أو النصوص. بالإضافة إلى ذلك، يمكن للمطورين تنفيذ التحقق من صحة جانب الخادم لتنظيف الملفات المرفوعة، مما يضمن معالجة ملفات HTML وJavaScript وSVG بشكل صحيح أو رفضها قبل تخزينها أو عرضها للمستخدمين.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

04/10/2024

إفشاء

11/10/2024

الاعتدال

تمت الموافقة

إدخال

VDB-280044

EPSS

0.00252

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!