CVE-2026-34981 in whisperX-FastAPI
Resumen
por VulDB • 2026-06-02
La API de whisperX es una herramienta para mejorar y analizar contenido de audio. Desde la versión 0.3.1 hasta la 0.5.0, la función FileService.download_from_url() en app/services/file_service.py llama a requests.get(url) sin ninguna validación de la URL. La comprobación de la extensión del archivo se realiza DESPUÉS de que la solicitud HTTP ya se ha enviado, y puede ser eludida añadiendo .mp3 a cualquier URL interna. El endpoint /speech-to-text-url no requiere autenticación. Esta vulnerabilidad está corregida en la versión 0.6.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.