CVE-2024-47872 in Gradioinformación

Resumen

por VulDB • 2026-05-31

Gradio es un paquete de Python de código abierto diseñado para el prototipado rápido. Esta vulnerabilidad implica una **Cross-Site Scripting (XSS)** en cualquier servidor de Gradio que permita la carga de archivos. Los usuarios autenticados pueden cargar archivos como HTML, JavaScript o archivos SVG que contengan scripts maliciosos. Cuando otros usuarios descargan o visualizan estos archivos, los scripts se ejecutan en sus navegadores, lo que permite a los atacantes realizar acciones no autorizadas o robar información sensible de sus sesiones. Esto afecta a cualquier servidor de Gradio que permita la carga de archivos, especialmente aquellos que utilizan componentes que procesan o muestran archivos cargados por los usuarios. Se recomienda a los usuarios actualizar a `gradio>=5` para solucionar este problema. Como medida provisional, los usuarios pueden restringir los tipos de archivos que se pueden cargar en el servidor de Gradio, limitando las cargas a tipos de archivos no ejecutables, como imágenes o texto. Además, los desarrolladores pueden implementar validación en el lado del servidor para sanitizar los archivos cargados, asegurando que los archivos HTML, JavaScript y SVG se manejen o rechacen correctamente antes de ser almacenados o mostrados a los usuarios.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2024-10-04

Divulgación

2024-10-11

Moderación

aceptado

Artículo

VDB-280044

CPE

listo

EPSS

0.00252

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!