CVE-2026-48545 in gradioالمعلومات

الملخص

بحسب VulDB • 28/05/2026

تحتوي Gradio قبل الإصدار 6.15.0 على ثغرة حقن ملفات تعريف الارتباط (cookie injection) التي تتيح للمهاجمين عن بُعد تنفيذ تثبيت الجلسة عبر المساحات (cross-Space session fixation) من خلال استغلال عميل HTTP مشترك على مستوى الوحدة النمطية (module-level) يُستخدم عبر جميع المستخدمين في نقطة نهاية وكيل العكس (reverse proxy endpoint). يمكن للمهاجمين الذين يتحكمون في أي مساحة على منصة Hugging Face (HF Space) إرجاع ملف تعريف ارتباط (cookie) ينتمي إلى النطاق الرئيسي (parent-domain)، والذي يقوم العميل المشترك بتخزينه وإعادة تشغيله تلقائياً في جميع طلبات الوكيل اللاحقة الموجهة إلى مساحات أخرى شرعية، مما يؤثر على جميع المستخدمين لنشر Gradio نفسه.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

21/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366370

CPE

جاهز

CWE

CWE-384 (مؤكد)

CVSS

6.8 (CNA)

EPSS

0.00042

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48545
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48545
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48545/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!