CVE-2024-47872 in Gradio
Sumário
de VulDB • 31/05/2026
O Gradio é um pacote Python de código aberto projetado para prototipagem rápida. Esta vulnerabilidade envolve **Cross-Site Scripting (XSS)** em qualquer servidor Gradio que permita o upload de arquivos. Usuários autenticados podem fazer upload de arquivos como HTML, JavaScript ou arquivos SVG contendo scripts maliciosos. Quando outros usuários baixam ou visualizam esses arquivos, os scripts serão executados em seus navegadores, permitindo que os atacantes realizem ações não autorizadas ou roubem informações sensíveis de suas sessões. Isso afeta qualquer servidor Gradio que permita o upload de arquivos, particularmente aqueles que utilizam componentes que processam ou exibem arquivos enviados pelos usuários. Os usuários são aconselhados a atualizar para `gradio>=5` para resolver este problema. Como solução alternativa, os usuários podem restringir os tipos de arquivos que podem ser enviados para o servidor Gradio, limitando os uploads a tipos de arquivos não executáveis, como imagens ou texto. Além disso, os desenvolvedores podem implementar validação no lado do servidor para sanitizar os arquivos enviados, garantindo que arquivos HTML, JavaScript e SVG sejam tratados adequadamente ou rejeitados antes de serem armazenados ou exibidos aos usuários.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.