CVE-2024-47872 in Gradioinformação

Sumário

de VulDB • 31/05/2026

O Gradio é um pacote Python de código aberto projetado para prototipagem rápida. Esta vulnerabilidade envolve **Cross-Site Scripting (XSS)** em qualquer servidor Gradio que permita o upload de arquivos. Usuários autenticados podem fazer upload de arquivos como HTML, JavaScript ou arquivos SVG contendo scripts maliciosos. Quando outros usuários baixam ou visualizam esses arquivos, os scripts serão executados em seus navegadores, permitindo que os atacantes realizem ações não autorizadas ou roubem informações sensíveis de suas sessões. Isso afeta qualquer servidor Gradio que permita o upload de arquivos, particularmente aqueles que utilizam componentes que processam ou exibem arquivos enviados pelos usuários. Os usuários são aconselhados a atualizar para `gradio>=5` para resolver este problema. Como solução alternativa, os usuários podem restringir os tipos de arquivos que podem ser enviados para o servidor Gradio, limitando os uploads a tipos de arquivos não executáveis, como imagens ou texto. Além disso, os desenvolvedores podem implementar validação no lado do servidor para sanitizar os arquivos enviados, garantindo que arquivos HTML, JavaScript e SVG sejam tratados adequadamente ou rejeitados antes de serem armazenados ou exibidos aos usuários.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

04/10/2024

Divulgação

11/10/2024

Moderação

aceite

Entrada

VDB-280044

CPE

pronto

EPSS

0.00252

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!