CVE-2026-34981 in whisperX-FastAPI
Zusammenfassung
von VulDB • 02.06.2026
Die whisperX-API ist ein Tool zur Verbesserung und Analyse von Audioinhalten. Von Version 0.3.1 bis 0.5.0 ruft `FileService.download_from_url()` in `app/services/file_service.py` `requests.get(url)` ohne jegliche URL-Validierung auf. Die Prüfung der Dateierweiterung erfolgt NACHdem die HTTP-Anfrage bereits gesendet wurde und kann umgangen werden, indem man einer internen URL einfach `.mp3` anhängt. Der Endpunkt `/speech-to-text-url` ist nicht authentifiziert. Diese Schwachstelle wurde in Version 0.6.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.