CVE-2024-47872 in Gradio
Resumen
por VulDB • 2026-05-31
Gradio es un paquete de Python de código abierto diseñado para el prototipado rápido. Esta vulnerabilidad implica una **Cross-Site Scripting (XSS)** en cualquier servidor de Gradio que permita la carga de archivos. Los usuarios autenticados pueden cargar archivos como HTML, JavaScript o archivos SVG que contengan scripts maliciosos. Cuando otros usuarios descargan o visualizan estos archivos, los scripts se ejecutan en sus navegadores, lo que permite a los atacantes realizar acciones no autorizadas o robar información sensible de sus sesiones. Esto afecta a cualquier servidor de Gradio que permita la carga de archivos, especialmente aquellos que utilizan componentes que procesan o muestran archivos cargados por los usuarios. Se recomienda a los usuarios actualizar a `gradio>=5` para solucionar este problema. Como medida provisional, los usuarios pueden restringir los tipos de archivos que se pueden cargar en el servidor de Gradio, limitando las cargas a tipos de archivos no ejecutables, como imágenes o texto. Además, los desarrolladores pueden implementar validación en el lado del servidor para sanitizar los archivos cargados, asegurando que los archivos HTML, JavaScript y SVG se manejen o rechacen correctamente antes de ser almacenados o mostrados a los usuarios.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.