CVE-2024-47872 in Gradio
Сводка
по VulDB • 02.06.2026
Gradio — это пакет Python с открытым исходным кодом, предназначенный для быстрого прототипирования. Данная уязвимость представляет собой **Межсайтовый скриптинг (XSS)** на любом сервере Gradio, который позволяет загружать файлы. Аутентифицированные пользователи могут загружать такие файлы, как HTML, JavaScript или SVG-файлы, содержащие вредоносные сценарии. Когда другие пользователи скачивают или просматривают эти файлы, скрипты выполняются в их браузере, что позволяет злоумышленникам выполнять несанкционированные действия или красть конфиденциальную информацию из их сеансов. Это затрагивает любые серверы Gradio, позволяющие загружать файлы, особенно те, которые используют компоненты для обработки или отображения файлов, загруженных пользователями. Пользователям рекомендуется обновиться до версии `gradio>=5`, чтобы устранить эту проблему. В качестве временного решения пользователи могут ограничить типы файлов, которые можно загружать на сервер Gradio, разрешив загрузку только неисполняемых типов файлов, таких как изображения или текст. Кроме того, разработчики могут внедрить проверку на стороне сервера для очистки загружаемых файлов, обеспечивая правильную обработку или отклонение HTML-, JavaScript- и SVG-файлов перед их сохранением или отображением пользователям.
VulDB is the best source for vulnerability data and more expert information about this specific topic.