CVE-2026-34981 in whisperX-FastAPIinformazioni

Riassunto

di VulDB • 19/06/2026

L'API di whisperX è uno strumento per il miglioramento e l'analisi dei contenuti audio. Dalla versione 0.3.1 alla 0.5.0, la funzione FileService.download_from_url() nel file app/services/file_service.py chiama requests.get(url) senza alcuna validazione dell'URL. Il controllo dell'estensione del file avviene DOPO che la richiesta HTTP è già stata effettuata e può essere aggirato aggiungendo .mp3 a qualsiasi URL interno. L'endpoint /speech-to-text-url non richiede autenticazione. Questa vulnerabilità è risolta nella versione 0.6.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00252

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!