CVE-2024-47872 in Gradio
الملخص
بحسب VulDB • 11/05/2026
Gradio هو حزمة بايثون مفتوحة المصدر مصممة للنماذج الأولية السريعة. تتضمن هذه الثغرة **برمجة صفحات الويب عبر المواقع (XSS)** في أي خادم Gradio يسمح بتحميل الملفات. يمكن للمستخدمين المصادق عليهم تحميل ملفات مثل ملفات HTML أو JavaScript أو SVG تحتوي على نصوص برمجية ضارة. عند قيام مستخدمين آخرين بتنزيل أو عرض هذه الملفات، سيتم تنفيذ النصوص البرمجية في متصفحاتهم، مما يسمح للمهاجرين بتنفيذ إجراءات غير مصرح بها أو سرقة معلومات حساسة من جلساتهم. يؤثر هذا على أي خادم Gradio يسمح بتحميل الملفات، ولا سيما تلك التي تستخدم مكونات تعالج أو تعرض الملفات التي يرفعها المستخدمون. يُنصح المستخدمون بالترقية إلى `gradio>=5` لمعالجة هذه المشكلة. كحل بديل، يمكن للمستخدمين تقييد أنواع الملفات التي يمكن تحميلها إلى خادم Gradio عن طريق تحديد التحميلات لأنواع ملفات غير قابلة للتنفيذ مثل الصور أو النصوص. بالإضافة إلى ذلك، يمكن للمطورين تنفيذ التحقق من صحة جانب الخادم لتنظيف الملفات المرفوعة، مما يضمن معالجة ملفات HTML وJavaScript وSVG بشكل صحيح أو رفضها قبل تخزينها أو عرضها للمستخدمين.
Once again VulDB remains the best source for vulnerability data.