CVE-2024-47872 in Gradio情報

要約

〜によって VulDB • 2026年06月02日

Gradioは、迅速なプロトタイピングのために設計されたオープンソースのPythonパッケージです。この脆弱性は、ファイルアップロードを許可するすべてのGradioサーバーにおける**クロスサイトスクリプティング(XSS)**に関連しています。認証済みユーザーは、悪意のあるスクリプトを含むHTML、JavaScript、またはSVGファイルをアップロードできます。他のユーザーがこれらのファイルをダウンロードまたは閲覧すると、ブラウザ内でスクリプトが実行され、攻撃者が不正なアクションを実行したり、セッションから機密情報を盗み出したりすることが可能になります。これは、ファイルアップロードを許可するすべてのGradioサーバーに影響を与え、特にユーザーがアップロードしたファイルの処理や表示を行うコンポーネントを使用しているサーバーで顕著です。この問題を解決するには、`gradio>=5`にアップグレードすることを推奨します。回避策として、ユーザーは画像やテキストなど実行不可能なファイルタイプへのアップロードを制限することで、Gradioサーバーへのアップロード可能なファイルの種類を制限できます。さらに、開発者はサーバーサイドでの検証を実装してアップロードされたファイルをサニタイズし、HTML、JavaScript、およびSVGファイルが適切に処理または拒否されるようにすることができ、これによりユーザーに保存または表示する前に安全性を確保します。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2024年10月04日

モデレーション

承諾済み

エントリ

VDB-280044

EPSS

0.00252

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!