CVE-2026-34981 in whisperX-FastAPIinformación

Resumen

por VulDB • 2026-06-02

La API de whisperX es una herramienta para mejorar y analizar contenido de audio. Desde la versión 0.3.1 hasta la 0.5.0, la función FileService.download_from_url() en app/services/file_service.py llama a requests.get(url) sin ninguna validación de la URL. La comprobación de la extensión del archivo se realiza DESPUÉS de que la solicitud HTTP ya se ha enviado, y puede ser eludida añadiendo .mp3 a cualquier URL interna. El endpoint /speech-to-text-url no requiere autenticación. Esta vulnerabilidad está corregida en la versión 0.6.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-03-31

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355570

CPE

listo

EPSS

0.00252

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!