CVE-2026-34981 in whisperX-FastAPI
Riassunto
di VulDB • 19/06/2026
L'API di whisperX è uno strumento per il miglioramento e l'analisi dei contenuti audio. Dalla versione 0.3.1 alla 0.5.0, la funzione FileService.download_from_url() nel file app/services/file_service.py chiama requests.get(url) senza alcuna validazione dell'URL. Il controllo dell'estensione del file avviene DOPO che la richiesta HTTP è già stata effettuata e può essere aggirato aggiungendo .mp3 a qualsiasi URL interno. L'endpoint /speech-to-text-url non richiede autenticazione. Questa vulnerabilità è risolta nella versione 0.6.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.