CVE-2026-34981 in whisperX-FastAPIinfo

Zusammenfassung

von VulDB • 02.06.2026

Die whisperX-API ist ein Tool zur Verbesserung und Analyse von Audioinhalten. Von Version 0.3.1 bis 0.5.0 ruft `FileService.download_from_url()` in `app/services/file_service.py` `requests.get(url)` ohne jegliche URL-Validierung auf. Die Prüfung der Dateierweiterung erfolgt NACHdem die HTTP-Anfrage bereits gesendet wurde und kann umgangen werden, indem man einer internen URL einfach `.mp3` anhängt. Der Endpunkt `/speech-to-text-url` ist nicht authentifiziert. Diese Schwachstelle wurde in Version 0.6.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355570

CPE

bereit

EPSS

0.00252

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!